Os investigadores da Check Point® Software Technologies Ltd., fornecedor líder global de soluções de ciber segurança, descobriram uma nova variante de malware para Android chamada “Black Rose Lucy”, que foi visto pela primeira vez em setembro de 2018. No total, os investigadores da empresa detetaram 80 amostras da nova variante de ‘Black Rose Lucy’ ocultas em aplicações de reprodução de vídeo que aparentemente pareciam inofensivas, aproveitando o serviço de acessibilidade do Android para instalar a sua informação sem necessidade de nenhuma interação do utilizador, criando um interessante mecanismo de auto-proteção.

Lucy é uma ferramenta MaaS (Malware as a Service) originário da Rússia e que permite descarregar nos equipamentos infetados novas variantes de ransomware. Quando se descarrega, cifra os ficheiros do dispositivo infetado e mostra uma nota de resgate no ecran do navegador que simula ser uma mensagem oficial do FBI, onde acusa a vítima de possuir conteúdo pornográfico no seu dispositivo. Além disso, indica ainda que os dados do utilizador foram incluídos no Centro de Dados do Departamento de Delitos Cibernéticos do FBI, juntamente com uma lista de delitos que o utilizador supostamente cometeu. Para resolver esta situação, os cibercriminosos cobram uma "multa" de 500 dólares através de cartão de crédito e não com Bitcoin, que é forma mais usada para pagamento de resgates de telemóveis..

Como funciona esta variante de malware?

O Sistema Operativo Android só permite aos utilizadores realizar uma configuração manual para que uma aplicação tenha privilégios de administrador de dispositivos. Para isso, pede o consentimento explícito do utilizador, ou então terá que navegar por uma série de configurações do sistema antes que se lhe sejam concedidos tais privilégios. No entanto, o serviço de acessibilidade deste sistema operativo, que imita os cliques no ecran de um utilizador e tem a capacidade de automatizar as interações com o dispositivo, poderia ser utilizado pelo malware para iludir estas restrições de segurança. Estes serviços de acessibilidade são utilizados normalmente para automatizar e simplificar certas tarefas repetidas.

Lucy utiliza um engenhoso método para se introduzir nos dispositivos Android e burlar os seus níveis de defesa. Mostra uma mensagem pedindo ao utilizador que ative a optimização de vídeo em tempo real.  Ao clicar no 'OK', o utilizador concede permissão ao malware para utilizar o serviço de acessibilidade. Os investigadores da Check Point apelidaram este sistema como “o tendão de Aquiles na armadura defensiva do Android”. A ordem de ações é a seguinte:

  1. Lucy descarrega-se e instala-se como uma aplicação de reprodução de vídeo
  2. Engana o utilizador para permitir um serviço de acessibilidade pretendendo habilitar um serviço falso, VSO - optimizador de emissão de vídeo
  3. Ao dar “OK” na mensagem que lhe aparece, o utilizador concede ao vírus privilégios administrativos utilizando o serviço de acessibilidade
  4. Lucy encripta os ficheiros do dispositivo, armazenando a chave de encriptação nas preferências partilhadas
  5. Finalmente mostra uma nota de resgate onde informa de uma "multa" imposta pelo FBI, exigindo também informação do cartão de crédito para pagar.

“Atualmente vemos uma evolução no ransomware. O malware móvel é mais sofisticado, e os cibercriminosos aprendem cada vez mais rápido a aproveitar a sua experiência de campanhas anteriores. Um claro exemplo é a utilização do FBI como tática de intimidação”, explica Aviran Hazum, director de investigação de ameaças móveis na Check Point. “É uma realidade que, mais tarde ou mais cedo, os ambientes dos dispositivos móveis experimentarão um grande ataque de ransomware. Por este motivo, a Check Point aconselha extremar as precauções com as aplicações móveis. Para isso, deve-se realizar downloads única e exclusivamente a partir de sites oficiais, manter sempre o sistema operativo do dispositivo e as aplicações atualizadas e contar com ferramentas de segurança”, acrescenta Hazum.

A Check Point, pela sua parte, conta com o SandBlast Mobile, uma solução contra ameaças móveis avançadas com infraestructura On-device Network Protection. Ao rever e controlar todo o tráfego de rede do dispositivo, o SandBlast Mobile evita os ataques de roubo de informação em todas as aplicações, correio eletrónico, SMS, iMessage e aplicações de mensagens instantâneas. Esta solução evita tanto o acesso a websites maliciosos como o acesso e comunicação do dispositivo com botnets, para isso valida el tráfego no próprio dispositivo sem ler os datos através de um gateway corporativo.

Classifique este item
(0 votos)
Ler 285 vezes
Tagged em

Sobre nós

Nascida em 2002, a Wintech é uma pagina web que reúne informações sobre tecnologia. Apresenta regularmente guias, análises, reportagens e artigos especiais de tudo o que rodeia o mundo tecnológico. Saiba mais.

Newsletter

Receba as notícias no seu e-mail

Top