10 anos de malware para dispositivos móveis

10 anos de malware para dispositivos móveis

Desde o Cabir (ou Caribe), o primeiro malware móvel conhecido (2004), muitas ameaças novas foram detectadas todos os anos. Essas ameaças evoluíram em quantidade, complexidade e plataformas que atacam. Nesses últimos dez anos, vimos como começaram como provas de conceito sem efeitos de danos, restritas a protocolos de curto alcance como o bluetooth. Porém as

Desde o Cabir (ou Caribe), o primeiro malware móvel conhecido (2004), muitas ameaças novas foram detectadas todos os anos. Essas ameaças evoluíram em quantidade, complexidade e plataformas que atacam. Nesses últimos dez anos, vimos como começaram como provas de conceito sem efeitos de danos, restritas a protocolos de curto alcance como o bluetooth. Porém as

evolucion-623x360

Desde o Cabir (ou Caribe), o primeiro malware móvel conhecido (2004), muitas ameaças novas foram detectadas todos os anos.

Essas ameaças evoluíram em quantidade, complexidade e plataformas que atacam. Nesses últimos dez anos, vimos como começaram como provas de conceito sem efeitos de danos, restritas a protocolos de curto alcance como o bluetooth. Porém as mesmas passaram a ser ameaças desenvolvidas com o objetivo de roubar dados e dinheiro através de solicitações de serviços Premium de SMS (utilizando trojans SMS), e evoluíram até serem ameaças muito mais sofisticadas como o Simplocker, primeiro ransomware para Android ativado no TOR.

Essa evolução tem acompanhado os avances tecnológicos dos dispositivos móveis e os hábitos dos seus usuários, com ameaças que se adaptam constantemente às plataformas mais populares.

2004: Cabir

O mundo já sabia que existia malware para computadores pessoais e os softwares antivírus existiam a mais de uma década, mas quase ninguém estava preparado para a “novidade” desenvolvida pelo investigador espanhol conhecido como Vallez: Cabir, um worm que se autorreplicava pulando de smartphone em smartphone (que utilizassem o sistema Symbian S60) utilizando o protocolo bluetooth.

Como era uma prova de conceito, essa ameaça não causava danos aos aparelhos infectados; o objetivo era demonstrar que era possível fazê-lo e ver quantos usuários eram afetados, mesmo com as limitações dessa forma de propagação.

2006: CommWarrior

Visto que a ideia do Cabir tinha funcionado, surgiu o CommWarrior, que também afetava os celulares Nokia com Symbian S60, a plataforma mais popular entre os smartphones daquele momento. A diferença entre CommWarrior e o seu antecessor era que ele adicionava a possibilidade de propagação através de MMS (Sistema de Mensagens Multimídia). O objetivo dessa ameaça era demonstrar a sua capacidade epidêmica, porém o que ocorreu foi prejuízo financeiro para as vítimas, já que os MMS enviados tinham um custo.

Esse aspecto econômico – o fato de que uma ameaça custasse dinheiro a sua vítima – abriu as portas para ataques com objetivos muito menos científicos e muito mais maliciosos.

2006: RedBrowser

O RedBrowser se diferenciava em quase tudo em relação aos seus antecessores. Era um trojan que explorava a plataforma Java, e se fazia passar por um aplicativo que melhoraria a navegação na Internet.

Essa ameaça foi um marco na história da utilização de SMS para roubar dinheiro de suas vítimas – códigos maliciosos para telefones celulares cujo objetivo principal era subscrever suas vítimas a números de mensagens Premium. Cada SMS enviado desses dispositivos custava aproximadamente US$5.

2007: FlexiSpy

Com o surgimento do Flexispy, spyware utilizado para escutar e espionar a comunicação entre dispositivos móveis sem que os usuários afetados saibam, o mercado de malware se “legalizou”, ou seja, uma empresa começou a vender um programa que por muitos poderia ser considerado malicioso.

De fato, a empresa responsável pela comercialização dessa ameaça ainda existe, porém em seu site eles explicam que “todo usuário deve conhecer e respeitar as leis de seu país no que diz respeito ao uso desse serviço com objetivos ilícitos”.

2008: InfoJack

O InfoJack, também conhecido como Meiti ou Mepos, é um trojan para Windows Mobile. Esse malware era descarregado como se fosse um pacote de jogos para smartphones, mas ocultava a sua verdadeira função: o roubo de dados. O InfoJack não teve muito sucesso, pois a plataforma para a qual ele foi desenvolvido também não teve.

2009: iKee

O iKee foi o primeiro worm para o iPhone, infectando os que tinham passado pelo processo de jailbreaking. Com esse procedimento, que habilitava a possibilidade de descarregar aplicativos de fontes inseguras (a única fonte considerada segura é a loja do próprio fabricante), o sistema de escuta SSH era instalado.

Se os usuários não mudavam a senha de root (administrador), esse worm infectava o dispositivo e substituía o papel de parede original do iPhone por uma imagem com a foto do cantor inglês Rick Astley.

2010: Zitmo

Resultado da migração dos computadores aos dispositivos móveis, o mundialmente famoso trojan Zeus teve a sua versão móvel com o aparecimento de Zitmo (Zeus in the mobile).

Essa ameaça ataca o sistema de segundo fator de autenticação e rouba dados das vítimas, já que o dispositivo infectado é convertido em um zumbi (parte de uma botnet).

2011: DroidDream

Esse trojan, que afetava os dispositivos com Android nas versões anteriores à 2.3 (Gingerbread), vinha embutido em vários aplicativos oficiais. Quando era descarregado e executado, realizava alterações no dispositivo com o objetivo de obter privilégios de administrador, com os quais o DroidDream tinha a habilidade de realizar qualquer tarefa no sistema – incluindo descarregar mais ameaças.

2012: Boxer

Em 2012 houve um crescimento vertiginoso no número de ameaças para Android: a quantidade de detecções únicas aumentou 17 vezes em relação ao ano anterior (globalmente). Mas nem esse fato ofuscou a importância do Boxer como um verdadeiro marco na história das ameaças móveis.

O Boxer era um trojan SMS, que embora não fosse uma categoria nova (já vimos outras ameaças similares nessa cronologia), foi a primeira vez que um trojan SMS foi programado para afetar vários países, incluindo 9 na América Latina.

2013: FakeDefender

O primeiro ransomware para Android: era descarregado como um suposto antivírus, porém bloqueava o dispositivo afetado e pedia um resgate em dinheiro para desbloqueá-lo.

Mais uma vez, um ataque já conhecido por afetar PCs migrava aos dispositivos móveis.

2014: Simplocker

O Simplocker é até o momento a ameaça mais intrigante e complexa para dispositivos móveis. É o primeiro ransomware para Android ativado no TOR que criptografa os arquivos das vítimas.

Além de criptografar documentos, imagens e vídeos no cartão SD do dispositivo, as novas variantes desse trojan criptografam arquivos comprimidos: ZIP, 7Z e RAR. A complicação dessa novidade é que as cópias de segurança (backup) do Android utilizam esses formatos, então não poderiam ser utilizadas no caso de uma infecção dessa ameaça.

Como pudemos observar, as ameaças para dispositivos móveis evoluíram da mesma forma que os aparelhos propriamente ditos.

Na ESET trabalhamos para proteger os usuários de forma efetiva através da análise, compreensão, conscientização da comunidade e desenvolvimento de produtos que permitam disfrutar da tecnologia sem preocupações.

Mais informações sobre como proteger seu dispositivo móvel pode ser encontrada aqui.

 

Imagem: ©bryanwright5@gmail.com/Flickr

Autor Ilya Lopes, ESET

Discussão