Pesquisadores de segurança da ESET descobriram o primeiro ransomware que se aproveita dos serviços de acessibilidade para Android. Além de criptografar as informações, essa ameaça é capaz de bloquear o dispositivo.

As soluções da ESET o detectam como Android/DoubleLocker.A e está no código de um trojan bancário, conhecido por utilizar para fins maliciosos os serviços de acessibilidade do sistema operacional móvel do Google. Embora não tenha funções relacionadas à coleta de credenciais bancárias e ao esvaziamento de contas, essa ameaça possui duas ferramentas que permitem extorquir as vítimas em busca de dinheiro.

DoubleLocker pode alterar o PIN do dispositivo e, assim, impedir que as vítimas o acessem, e também criptografa as informações encontradas no dispositivo. Uma combinação que até agora não foi vista no Android.

“Por ser originalmente criado como uma ameaça bancária, o DoubleLocker pode tornar-se o que podemos chamar de ransom-bankers. É um malware que funciona em duas etapas: primeiro, ele tenta esvaziar sua conta bancária ou PayPal e, em seguida, bloqueia seu dispositivo e suas informações para solicitar o pagamento do resgate. Deixando as especulações de lado, a primeira vez que vimos uma versão de teste de um ransom-banker deste tipo foi em maio de 2017”, comentou Lukáš Štefanko, pesquisador de malware da ESET que descobriu o DoubleLocker.

Distribuição

O DoubleLocker se propaga exatamente igual ao trojan no qual se baseia. Geralmente, é distribuído por meio de uma versão falsa do Adobe Flash Player, carregada em sites comprometidos.

Uma vez executado, o aplicativo solicita a ativação do serviço de acessibilidade do malware, chamado “Google Play Service” para enganar os usuários, que podem acreditar que é um serviço legítimo do Google. Depois que o malware obtém as permissões de acessibilidade, ele as utiliza para ativar os direitos de administrador do dispositivo e se estabelece como o aplicativo iniciador padrão, em ambos os casos sem o consentimento do usuário.

Veja como funciona:

"Estabelecer-se como um iniciador padrão é um truque que melhora a persistência do malware. Toda vez que o usuário clica no botão Iniciar, o ransomware é ativado e o dispositivo está bloqueado novamente. Graças ao uso do serviço de acessibilidade, o usuário não sabe que ele está executando o malware pressionando Iniciar", explica Štefanko.

Uma vez executado no dispositivo, o DoubleLocker dá à vítima duas razões para pagar o resgate, e daí vem o nome dele (a ESET nunca recomenda fazer o pagamento):

  • Primeiro, muda o PIN do equipamento, para que a vítima não possa usá-lo. O novo código PIN é definido com base em um valor aleatório, que não está armazenado no dispositivo e nem foi enviado para nenhum local de armazenamento, por isso é impossível para o usuário ou um especialista de segurança recuperá-lo. Após o pagamento, o atacante pode redefinir o PIN remotamente e desbloquear o dispositivo.
  • Em segundo lugar, o DoubleLocker criptografa todos os arquivos do diretório de armazenamento principal.

O valor do resgate solicitado é de 0,0130 BTC (aproximadamente US$ 54) e a mensagem indica que deve ser pago em 24 horas. Caso não efetue o pagamento, os dados permanecerão criptografados, mas não serão apagados, de modo que ter um backup dos arquivos pode ser útil.

Figura 1: Arquivos criptografados em um dispositivo infectado com o DoubleLocker.

Figura 2: Mensagem de pedido de resgate do DoubleLocker.

“Estabelecer-se como um iniciador padrão (um launcher) é um truque que melhora a persistência do malware. Toda vez que o usuário clica no botão Iniciar, o ransomware é ativado e o dispositivo é bloqueado novamente. Graças ao uso do serviço de acessibilidade, o usuário não sabe que ele está executando o malware pressionando Iniciar”, explicou Lukáš Štefanko.

Bloqueio do dispositivo e das informações

Uma vez executado no dispositivo, o DoubleLocker dá à vítima duas razões para pagar o resgate, e daí vem o nome dele (a ESET nunca recomenda fazer o pagamento):

Primeiro, muda o PIN do equipamento, para que a vítima não possa usá-lo. O novo código PIN é definido com base em um valor aleatório, que não está armazenado no dispositivo e nem foi enviado para nenhum local de armazenamento, por isso é impossível para o usuário ou um especialista de segurança recuperá-lo. Após o pagamento, o atacante pode redefinir o PIN remotamente e desbloquear o dispositivo.

Em segundo lugar, o DoubleLocker criptografa todos os arquivos da unidade de armazenamento principal. Para isso, utiliza o algoritmo AES, adicionando a extensão “.cryeye”.

O valor do resgate solicitado é de 0,0130 BTC (aproximadamente US$ 54) e a mensagem indica que deve ser pago em 24 horas. Caso não efetue o pagamento, os dados permanecerão criptografados, mas não serão apagados, de modo que ter um backup dos arquivos pode ser útil.

Como se livrar do DoubleLocker?

No pedido de resgate, o usuário é advertido a não tentar remover ou bloquear o DoubleLocker: “Sem [o software], você nunca poderá recuperar seus arquivos originais”. Os cibercriminosos até recomendam a desativação do antivírus para evitar que o usuário elimine a ameaça.

“Este conselho é irrelevante, pois qualquer pessoa com uma solução de segurança de qualidade instalada em seu dispositivo permanecerá segura com relação ao DoubleLocker”, afirmou Lukáš Štefanko.

Para aqueles que não têm uma solução de segurança e precisam tirar o ransomware do dispositivo, os pesquisadores da ESET recomendam:

Se o dispositivo não estiver roteado e não tiver uma solução de gerenciamento de dispositivo móvel capaz de redefinir o PIN, a única maneira de limpar o bloqueio de tela é com a restauração das configurações de fábrica (factory reset). As opções para fazer isso dependem da versão do Android, mas geralmente pode ser encontrada em Configurações → Backup de segurança e restabelecimento → Restabelecer valores de fábrica.

No entanto, se o dispositivo estiver roteado, o usuário pode se conectar a ele pelo Android Debug Bridge (ADB) e excluir o arquivo no qual o PIN foi armazenado. Para que isso funcione, o dispositivo deve estar com o debugging ativado: Configurações → Opções do desenvolvedor → USB Debugging.

Isso removerá o PIN ou senha de bloqueio de tela e o usuário poderá acessar o dispositivo. Em seguida, operando no modo de segurança, é possível desativar os direitos de administrador do malware e desinstalá-lo. Em alguns casos, o dispositivo precisa ser reiniciado.

“O DoubleLocker é mais uma razão para os usuários de dispositivos móveis instalarem uma solução de segurança de qualidade e realizarem o backup de suas informações regularmente”, concluiu Lukáš Štefanko.