Imagina se o seu dispositivo móvel ou tablet, com sistema operacional Android, começa a falar com você de forma inesperada? Seria uma nova funcionalidade? Você pode até se questionar sobre isso, até o momento em que é possível perceber que a voz feminina, que acaba de te “parabenizar”, está reproduzindo a mensagem de um ransomware que bloqueia sua tela. E se o aplicativo instalado fala em chinês, será possível deduzir que o preço para desbloquear o seu dispositivo será de 40 yuanes (aproximadamente 6 dólares).

Mesmo sem grandes índices de detecção na América Latina, é fundamental estar atento e conhecer a evolução dos tipos de ransomware, que a cada dia apresentam novas formas de infecção pelo mundo.

Um membro da conhecida família de ransomware Jisut, mas especificamente o Android/LockScreen.Jisut, demonstrou recentemente “habilidades linguísticas”. A ESET detecta esse malware na maioria dos casos como Android/Lockerpin, com uma funcionalidade diferenciada: a habilidade de trocar de código PIN de bloqueio da tela de um usuário.

Esse ransomware para Android que pode falar, se propaga por meio de um dropper malicioso usado para descriptografar e executar o payload. O processo de infecção é ativado após a vítima abrir manualmente um aplicativo malicioso e dar clique em um botão que diz “Click for free activation”.

4-1qxf4-576x1024

Em seguida, a vítima é levada a conceder direitos de administrador para o malware, com o intuito de dificultar a eliminação ou desinstalação do aplicativo. Além disso, o equipamento é bloqueado e uma mensagem de voz (que exige um resgate) é reproduzida.

O seguinte vídeo mostra passo a passo o funcionamento da ameaça:

[embed]https://www.youtube.com/watch?v=7ko-m1UjKg8&feature=youtu.be[/embed]

No entanto, a extorsão não é a única intenção da variante (que fala) do Jisut; outro exemplo é a tentativa de obter credenciais dos usuários da rede social chinesa QQ. O malware tenta enganá-los mostrando uma falsa tela de login, semelhante a original do serviço. Qualquer nome de usuário e senha, que seja inserida, será enviada para o atacante.

Em seguida, aparece uma solicitação de pagamento de um resgate e aparecem informações para que o processo seja realizado na tela da vítima. Nesse momento não há saída: caso o usuário resolva finalizar essa atividade de alguma forma, as coisas poderão ser ainda piores. O PIN, que é uma funcionalidade de segurança própria do dispositivo, será restabelecido com um novo código desconhecido pela vítima.

2-yp3e6-576x1024

3-106spe-576x1024

Essa variante que fala e que bloqueia a tela é apenas uma das várias que pertencem à família do malware Jisut, observada no ano passado; segundo vimos, seu número total de detecções se duplicou em comparação com 2015. No entanto, nem todas extorquiram suas vítimas. De fato, algumas apenas tentaram vender o aplicativo ou o seu código fonte, ou simplesmente bloqueavam o dispositivo sem exigir nenhum resgate.

As variantes que pedem dinheiro normalmente fazem o processo de pagamento de forma mais simples e direta adicionando um código QR, que permite ao usuário enviar uma mensagem ao atacante, assim como também realizar o pagamento.

Na maioria dos casos, o Jisut apenas tem um efeito visual (trocar o fundo de tela) ou sonoro (reproduzir um som de fundo). Isso reforça nossa ideia anteriormente publicada de que não foi criado com grandes aspirações para ganhar dinheiro, mas apenas como uma brincadeira.

A família Jisut se propaga, na maioria dos casos, na China e o mais provável é que seja o trabalho de um grupo que não se preocupa muito com o anonimato. Algumas das telas de versões anteriores incluem informação de contato da rede social QQ e solicitam às vítimas que contatem aos criadores do malware para recuperar seus arquivos. Se a informação de seus perfis é válida, esses operadores são jovens com idades entre 17 e 22 anos.

As primeiras variantes do Android/LockScreen.Jisut começaram a aparecer no primeiro semestre de 2014. Desde então, temos detectado centenas de variantes mostrando diferentes mensagens de pedido de resgate, embora todas sejam baseadas na mesma tela de código. Algumas inclusive se propagam por meio de uma mensagem SMS com um link que direciona para o malware, o qual é enviado para todos os contatos do usuário.

Para saber mais sobre o ransomware no Android, tendências e os exemplos mais notórios desde 2014, leio o novo white paper da ESET (em inglês).

Como eliminar o Android/Lockscreen.Jisut?

Existem três formas de eliminar esse malware:

  1. Através do administrador do seu dispositivo é possível eliminar os direitos concedidos ao malware de forma manual e, em seguida, desinstalar o aplicativo infectado. No entanto, isso só é possível nos casos em que o usuário já possua essa função ou um aplicativo (que permite realizar essa ação) antes de ser infectado com o malware.
  2. Se o equipamento foi roteado, você pode usar a opção Android Debug Bridge, para que seja possível se comunicar com o smatphone ou tablete por meio de linhas de comando. No entanto, essa opção está limitada para os usuários mais experientes ou desenvolvedores.
  3. O último recurso: uma restauração às configurações de fábrica, que apagará o conteúdo (como fotos, vídeos ou contatos), mas deixará o equipamento plenamente funcional.