No começo do mês passado, uma nova variante de ransomware para dispositivos móveis foi detectada, a SLocker (nomeada pela Trend Micro como ANDROIDOS_SLOCKER.OPST), que copiou a Interface Gráfica do Usuário de um dos ransomware mais comentados nos últimos meses, o WannaCry.
A família SLocker é uma das mais antigas de bloqueio de tela de dispositivos móveis e criptografia de arquivos. Depois de permanecer alguns anos na surdina, teve um ressurgimento repentino em maio passado.
Esta variante em especial é notável por ser um dos primeiros ransomware de criptografia de arquivos do Android e o primeiro ransomware de dispositivos móveis a capitalizar o “sucesso” que o WannaCry conseguiu causar.
Apesar de notável por conseguir criptografar arquivos no celular, esta variante durou pouco. Logo que surgiram detalhes sobre o ransomware, as ferramentas de decodificação foram publicadas.
No entanto, em pouco tempo, foram encontradas mais variantes. Cinco dias após a detecção inicial, um suspeito supostamente responsável pelo Ransomware foi preso pela polícia chinesa.
Felizmente, como os canais de transmissão são limitados (foi espalhado principalmente por fóruns como grupos QQ e Bulletin Board Systems), o número de vítimas não foi significativo.
Amostra de linha do tempo desta amostra de ransomware
A amostra original coletada pela Trend Micro, que foi batizada de “王者 荣耀 辅助” (Auxiliar para o King of Glory), estava disfarçada de ferramenta de trapaça para o jogo King of Glory. Quando instalada, sua aparência era similar ao WannaCry.
Este ransomware se passa por guias de jogos, players de vídeo, e assim por diante, para fazer com que uma nova vítima o instale.
Quando instalado pela primeira vez, seu ícone se parece com um guia normal de jogo. Quando o ransomware é executado, o aplicativo altera o ícone e o nome e o papel de parede do dispositivo infectado.
Após a execução, o nome e ícone do ransomware se modificam
O ransomware envia um anúncio de atividade desativada para “com.android.tencent.zdevs.bah.MainActivity”. Em seguida, ele muda seu ícone desativando a atividade original e ativando um comando alias.
Como o ransomware criptografa os arquivos
Quando o ransomware é instalado, ele verificará se já foi executado antes. Se não foi, ele gerará um número aleatório e vai armazená-lo em SharedPreferences, que é o local onde os dados permanentes do aplicativo são salvos.
Em seguida, ele localiza o diretório de armazenamento externo do dispositivo e inicia um novo tópico.
O tópico passará pelo diretório de armazenamento externo para encontrar arquivos que atendam requisitos específicos:
- Os caminhos com letras minúsculas para arquivos-alvo não deve conter “/.”, “android”, “com.” e “miad”;
- Com o armazenamento externo como diretório-raiz, os arquivos devem estar em diretórios de nível menor que três ou caminhos com letras minúsculas que contenham “baidunetdisk”, “download” ou “dcim”;
- O nome do arquivo deve ter “.” e o tamanho do nome do arquivo criptografado deve ser menor que 251;
- O arquivo deve ser maior que 10 KB e menor que 50 MB
A Trend Micro verificou que o ransomware evita criptografar arquivos do sistema, focando em arquivos baixados e imagens e apenas criptografa arquivos que tenham sufixos (arquivos de texto, fotos e vídeos). Quando um arquivo que atende a todos os requisitos é encontrado, o tópico usará o ExecutorService para executar uma nova tarefa.
A nova tarefa usará um método chamado “getsss” para gerar uma cifra com base em um número aleatório gerado anteriormente. Este método calcula o MD5 do número aleatório e seleciona 16 caracteres como uma string a partir da representação hexadecimal do MD5.
Depois do string ser gerado, o ransomware vai alimentar o SecretKeySpec para gerar uma senha final para AES antes de usá-lo para criptografar arquivos.
Após o arquivo ser criptografado, um sufixo será adicionado ao nome do arquivo que conterá um número QQ usado para gerar a cifra.
O ransomware mostra para as vítimas três opções para pagar o resgate, mas na amostra analisada pela Trend Micro, as três levaram ao mesmo código QR que pede que as vítimas paguem pela QQ (um popular serviço chinês de pagamento em celulares).
Se as vítimas se recusarem a pagar após três dias, o preço do resgate aumentará. Em uma semana, ele ameaça excluir todos os arquivos.
O ransomware diz às vítimas que uma senha de descriptografia será enviada após o resgate ter sido pago. Através da análise da Trend Micro, descobriu-se que se as vítimas inserem a chave e clicam no botão Decrypt, o ransomware compara a senha digitada com o valor no MainActivity.m.
Diversas novas variantes começaram a surgir
Depois que o ransomware inicial foi exposto, apareceram mais e mais variantes. Algumas variantes alteraram o método de gerar a senha de descriptografia, mas o usuário ainda poderá descriptografar os arquivos se descobrir a nova fórmula:
Alguns usam pacotes para evitar a detecção estática:
Soluções e Recomendações
Comparado aos ransomwares vistos antes, este ransomware é relativamente simples. Na verdade, é bastante fácil para um engenheiro de segurança reverter o ransomware e encontrar uma maneira de decodificar arquivos.
No entanto, a proliferação de novas variantes de forma tão rápida mostra que o número de cibercriminosos não está diminuindo. Mesmo que um suspeito tenha sido preso, um ransomware mais avançado pode estar prestes a surgir.
Para manter as informações do seu dispositivo protegidas, veja abaixo algumas dicas para ficar longe de ransomwares:
- Só instale aplicativos baixados de lojas legitimas, tais como o Google Play;
- Tome cuidado com permissões solicitadas por apps; principalmente permissões que permitam que o app leia/modifique o armazenamento externo;
- Faça back-up dos seus dados de forma regular – seja em outro dispositivo ou em uma nuvem;
- Instale um antivírus abrangente. Soluções de proteção como o Trend Micro™ Mobile Securitybloqueia as ameaças dos aplicativos antes que possam ser instalados e danificar o dispositivo, já o Trend Micro™ Maximum Security oferece uma forte proteção para vários dispositivos e os protege de forma proativa contra ameaças de ransomware.
