Cuidado com o SLocker, o mobile ransomware que copia o WannaCry

A SLocker, nova variante de ransomware para dispositivos móveis detectada no mês passado, está tirando o sono de muitos profissionais de segurança.

A família SLocker é uma das mais antigas de bloqueio de tela de dispositivos móveis e criptografia de arquivos. Depois de permanecer alguns anos na surdina, teve um ressurgimento repentino em maio passado. Nomeada pela Trend Micro como ANDROIDOS_SLOCKER.OPST, essa nova variante copia a interface gráfica de um dos ransomware mais comentados nos últimos meses, o WannaCry e é notável por ser um das primeiras a criptografar arquivos do Android.

Este ransomware se passa por guias de jogos, players de vídeo, e assim por diante, para fazer com que uma nova vítima o instale.

Quando instalado pela primeira vez, seu ícone se parece com um guia normal de jogo. Quando o ransomware é executado, o aplicativo altera o ícone e o nome e o papel de parede do dispositivo infectado. Depois, envia um anúncio de atividade desativada para “com.android.tencent.zdevs.bah.MainActivity”. Em seguida, muda seu ícone desativando a atividade original e ativando um comando alias.​

E como o SLocker criptografa os arquivos?
Quando o ransomware é instalado, ele verificará se já foi executado antes. Se não foi, ele gerará um número aleatório e vai armazená-lo em SharedPreferences, que é o local onde os dados permanentes do aplicativo são salvos.

Em seguida, ele localiza o diretório de armazenamento externo do dispositivo e inicia um novo tópico.

O tópico passará pelo diretório de armazenamento externo para encontrar arquivos que atendam requisitos específicos:

· Os caminhos com letras minúsculas para arquivos-alvo não deve conter “/.”, “android”, “com.” e “miad”;

· Com o armazenamento externo como diretório-raiz, os arquivos devem estar em diretórios de nível menor que três ou caminhos com letras minúsculas que contenham “baidunetdisk”, “download” ou “dcim”;

· O nome do arquivo deve ter “.” e o tamanho do nome do arquivo criptografado deve ser menor que 251;

· O arquivo deve ser maior que 10 KB e menor que 50 MB.

A Trend Micro verificou que o ransomware evita criptografar arquivos do sistema, focando em arquivos baixados e imagens e apenas criptografa arquivos que tenham sufixos (arquivos de texto, fotos e vídeos). Quando um arquivo que atende a todos os requisitos é encontrado, o tópico usará o ExecutorService para executar uma nova tarefa.

A nova tarefa usará um método chamado “getsss” para gerar uma cifra com base em um número aleatório gerado anteriormente. Este método calcula o MD5 do número aleatório e seleciona 16 caracteres como uma string a partir da representação hexadecimal do MD5.

Depois do string ser gerado, o ransomware vai alimentar o SecretKeySpec para gerar uma senha final para AES antes de usá-lo para criptografar arquivos.

Após o arquivo ser criptografado, um sufixo será adicionado ao nome do arquivo que conterá um número QQ usado para gerar a cifra.

O ransomware mostra para as vítimas três opções para pagar o resgate, mas na amostra analisada pela Trend Micro, as três levaram ao mesmo código QR que pede que as vítimas paguem pela QQ (um popular serviço chinês de pagamento em celulares).

Se as vítimas se recusarem a pagar após três dias, o preço do resgate aumentará. Em uma semana, ele ameaça excluir todos os arquivos.

O ransomware diz às vítimas que uma senha de descriptografia será enviada após o resgate ter sido pago. Através da análise da Trend Micro, descobriu-se que se as vítimas inserem a chave e clicam no botão Decrypt, o ransomware compara a senha digitada com o valor no MainActivity.m.

Soluções e Recomendações
Comparado aos ransomwares vistos antes, este ransomware é relativamente simples. Na verdade, é bastante fácil para um engenheiro de segurança reverter o ransomware e encontrar uma maneira de decodificar arquivos.

No entanto, a proliferação de novas variantes de forma tão rápida mostra que o número de cibercriminosos não está diminuindo. Mesmo que um suspeito tenha sido preso, um ransomware mais avançado pode estar prestes a surgir.

Para manter as informações do seu dispositivo protegidas, veja abaixo algumas dicas para ficar longe de ransomwares:

· Só instale aplicativos baixados de lojas legitimas, tais como o Google Play;

· Tome cuidado com permissões solicitadas por apps; principalmente permissões que permitam que o app leia/modifique o armazenamento externo;

· Faça back-up dos seus dados de forma regular – seja em outro dispositivo ou em uma nuvem;

· Instale um antivírus abrangente. Soluções de proteção como o Trend Micro™ Mobile Security bloqueia as ameaças dos aplicativos antes que possam ser instalados e danificar o dispositivo, já o Trend Micro™ Maximum Security oferece uma forte proteção para vários dispositivos e os protege de forma proativa contra ameaças de ransomware.