Trend Micro detecta Mobile Ransomware SLocker

A companhia comenta que esta variante em especial é notável por ser um dos primeiros ransomware de criptografia de arquivos...

A companhia comenta que esta variante em especial é notável por ser um dos primeiros ransomware de criptografia de arquivos do Android e o primeiro ransomware de dispositivos móveis a capitalizar o ?sucesso? que o WannaCry conseguiu causar. Apesar de notável por conseguir criptografar arquivos no celular, esta variante durou pouco. Logo que surgiram detalhes sobre o ransomware, as ferramentas de decodificação foram publicadas.

No entanto, em pouco tempo, foram encontradas mais variantes. Cinco dias após a detecção inicial, um suspeito supostamente responsável pelo Ransomware foi preso pela polícia chinesa. Como os canais de transmissão são limitados (foi espalhado principalmente por fóruns como grupos QQ e Bulletin Board Systems), o número de vítimas não foi significativo. A amostra original coletada pela Trend Micro, que foi batizada de "?? ?? ??" (Auxiliar para o King of Glory), estava disfarçada de ferramenta de trapaça para o jogo King of Glory. Quando instalada, sua aparência era similar ao WannaCry.

De acordo com a empresa, este ransomware se passa por guias de jogos, players de vídeo, e assim por diante, para fazer com que uma nova vítima o instale. Quando instalado pela primeira vez, seu ícone se parece com um guia normal de jogo. Quando o ransomware é executado, o aplicativo altera o ícone, nome e o papel de parede do dispositivo infectado. O ransomware envia um anúncio de atividade desativada para "com.android.tencent.zdevs.bah.MainActivity". Em seguida, ele muda seu ícone desativando a atividade original e ativando um comando alias.?

Como o ransomware criptografa os arquivos

A empresa comenta que quando o ransomware é instalado, ele verificará se já foi executado antes. Se não foi, ele gerará um número aleatório e vai armazená-lo em SharedPreferences, que é o local onde os dados permanentes do aplicativo são salvos. Em seguida, ele localiza o diretório de armazenamento externo do dispositivo e inicia um novo tópico. O tópico passará pelo diretório de armazenamento externo para encontrar arquivos que atendam requisitos específicos: os caminhos com letras minúsculas para arquivos-alvo não deve conter ?/.?, ?android?, ?com.? e ?miad?; com o armazenamento externo como diretório-raiz, os arquivos devem estar em diretórios de nível menor que três ou caminhos com letras minúsculas que contenham ?baidunetdisk?, ?download? ou ?dcim?; o nome do arquivo deve ter ?.? e o tamanho do nome do arquivo criptografado deve ser menor que 251 e o arquivo deve ser maior que 10 KB e menor que 50 MB.

 A Trend Micro verificou que o ransomware evita criptografar arquivos do sistema, focando em arquivos baixados e imagens e apenas criptografa arquivos que tenham sufixos (arquivos de texto, fotos e vídeos). Quando um arquivo que atende a todos os requisitos é encontrado, o tópico usará o ExecutorService para executar uma nova tarefa. A nova tarefa usará um método chamado "getsss" para gerar uma cifra com base em um número aleatório gerado anteriormente. Este método calcula o MD5 do número aleatório e seleciona 16 caracteres como uma string a partir da representação hexadecimal do MD5.

Depois do string ser gerado, o ransomware vai alimentar o SecretKeySpec para gerar uma senha final para AES antes de usá-lo para criptografar arquivos. Após o arquivo ser criptografado, um sufixo será adicionado ao nome do arquivo que conterá um número QQ usado para gerar a cifra. O ransomware mostra para as vítimas três opções para pagar o resgate, mas na amostra analisada pela Trend Micro, as três levaram ao mesmo código QR que pede que as vítimas paguem pela QQ (um popular serviço chinês de pagamento em celulares). Se as vítimas se recusarem a pagar após três dias, o preço do resgate aumentará. Em uma semana, ele ameaça excluir todos os arquivos.

O ransomware diz às vítimas que uma senha de descriptografia será enviada após o resgate ter sido pago. Através da análise da Trend Micro, descobriu-se que se as vítimas inserem a chave e clicam no botão Decrypt, o ransomware compara a senha digitada com o valor no MainActivity.m.

Fonte: Redação