Desde Cabir (ou Caribe), o primeiro malware para dispositivos móveis que apareceu em 2004, muitas novas ameaças continuam sendo detectadas todos os anos.
As ameaças estão evoluindo em quantidade, complexidade e plataformas afetadas: nos últimos dez anos, vimos como eram desenvolvidas apenas como um teste de conceito sem fins nocivos, restritas a protocolos de curto alcance como o Bluetooth; em seguida, se transformaram com o intuito de roubar dados e dinheiro através de assinaturas de serviços de SMS Premium (usando trojans SMS), e acabaram se tornando ameaças mais sofisticadas como o Simplocker, o primeiro ransomware para Android habilitado no TOR.
Dessa forma, podemos perceber como a evolução do malware também acompanhou o avanço tecnológico dos dispositivos móveis e os hábitos dos usuários, com ameaças que constantemente se adaptam às plataformas mais utilizadas.
No post de hoje apresentamos as principais ameaças que surgiram nos últimos anos, fazendo um caminho pela história do malware focado em dispositivos móveis, que vimos e analisamos no Laboratório de Investigação da ESET. Quer entrar neste túnel do tempo? Então confira:
2004: Cabir
O mundo já estava ciente dos códigos maliciosos para PCs e os softwares antivírus existiam há mais de uma década, mas (quase) ninguém estava preparado para a "novidade" desenvolvida pelo pesquisador espanhol conhecido como Vallez: o Cabir, um worm que se autorreproduzia pulando de smartphone em smartphone (com Symbian S60) usando o protocolo bluetooth.
Como foi apenas um teste de conceito, não danificava os aparelhos; o seu principal objetivo era poder ver a quantidade de usuários que poderiam ser infectados, além de também provar as limitações nessa forma de propagação.
2005: CommWarrior
Depois que provaram que a ideia do Cabir funcionava, surgiu o CommWarrior, que também afetou aos Nokias com Symbian S60, a plataforma mais popular entre os smartphones naquele momento. A diferença entre o ComWarrior e seu antecessor era apenas a capacidade de se propagar através de MMS (Multimedia Messaging System).
O seu objetivo era demonstrar a sua capacidade de epidemia, mas o que acabou ocorrendo foi uma perda financeira de suas vítimas, já que os MMS enviados tinham um certo custo.
2006: RedBrowser
Os RedBrowser divergiam em quase tudo com relação aos seus antecessores. A ameaça era um trojan que explorava a plataforma Java, e se passava por uma aplicativo que prometia melhorar a navegação na Internet. Essa ameaça foi um marco no uso do SMS para roubar dinheiro das vítimas – códigos maliciosos para telefones celulares, cujo principal objetivo era realizar a assinatura das vítimas a números de mensagens Premium.
Cada SMS enviado a partir dos dispositivos infectados tinham um custo de aproximadamente 5 dólares.
2007: FlexiSpy
Com o Flexispy, um spyware utilizado para ouvir e espionar as comunicações entre dispositivos móveis sem o conhecimento dos usuários afetados, a comercialização do malware foi "legalizada", ou seja, uma empresa passou a vender um programa que poderia ser considerado malicioso para muitos.
Na verdade, a empresa responsável pela comercialização dessa ameaça ainda existe, mas em seu site diz que "todos usuários devem conhecer e respeitar as leis de seu país em relação ao uso com fins ladinos desse serviço".
2008: InfoJack
O InfoJack, também conhecido como Meiti ou Mepos, é um trojan para Windows Mobile. Esse malware era baixado como um pacote de jogos para smartphones, mas escondia sua verdadeira função: o roubo de dados. O InfoJack não teve muito êxito, considerando que a plataforma para a qual foi desenvolvido nem sequer foi infectada pela ameaça.
2009: iKee
O Ikee foi o primeiro worm para o iPhone, e infectou aqueles que tinham passado pelo processo de jailbreaking. Através desse processo, que habilitava a capacidade de fazer downloads de aplicativos de fontes não seguras (a única fonte considerada segura é a loja do próprio fabricante), era instalado por configuração de fábrica um serviço de escuta chamado SSH.
Caso os usuários não alterassem a senha do root (administrador), esse worm infectava o dispositivo e substituía a tela do iPhone com uma imagem de fundo pela foto do cantor britânico Rick Astley.
2010: Zitmo
Migrando dos computadores para os dispositivos móveis, o mundialmente famoso trojan Zeus deu lugar a sua versão móvel com o aparecimento do Zitmo (Zeus in the mobile).
Essa ameaça atentava contra o duplo fator de autenticação e roubava dados dos usuários. Além disso, transformava o dispositivo em um zumbi que passava a fazer parte de uma botnet.
2011: DroidDream
Esse trojan, que afetou aos dispositivos Android em suas versões anteriores a 2.3 (Gingerbread), vinha acoplado em várias aplicações oficiais. Depois de baixado e executado, realizava alterações no dispositivo para adquirir privilégios de administrador, com os quais passava a executar qualquer tarefa dentro do sistema, inclusive baixar mais ameaças.
2012: Boxer
Em 2012, houve um rápido crescimento do número de ameaças para o Android: a quantidade de detecções únicas aumentou 17 vezes em todo o mundo em relação ao ano anterior. Mas isso não ofuscou a importância do Boxer como um marco na história das ameaças móveis.
Na verdade, ele era um trojan SMS - mesmo não sendo uma nova categoria (vimos outras ameaças desse tipo nesta cronologia), foi a primeira vez que um trojan SMS foi desenvolvido para afetar vários países (nove deles eram países da América Latina).
2013: FakeDefender
Foi o primeiro ransomware para o Android: era baixado como suposto antivírus, mas bloqueava o dispositivo afetado e exigia um resgate para desbloqueá-lo. Mais uma vez, um ataque que já era conhecido no PC migrava para os dispositivos móveis.
2014: Simplocker
O Simplocker é até hoje a ameaça móvel mais intrigante e complexa. Foi o primeiro ransomware para Android ativado no Tor que criptografava os arquivos dos usuários. Além de criptografar documentos, imagens e vídeos do cartão SD do dispositivo, as novas variantes do trojan criptografava arquivos compactados: ZIP, 7z e RAR.
No entanto, esse malware apresenta uma grande complicação: como as cópias de segurança do Android também utilizam esse formato, o backup de um dispositivo infectado não servirá para resgatar os dados criptografados por essa ameaça. Terrível...
2015: Android/Lockerpin.A
Esse foi o primero tipo de ransomware de bloqueio de tela para o Android que alterava o código PIN dos dispositivos móveis.
Após a sua instalação, o malware tenta obter privilégios de administrador no dispositivo. Uma tática cada vez mais usada pelos criadores de ameaças para Android, pois o processo torna a eliminação da ameaça bem mais difícil.
2016: Jisut
Para quem não imaginava que isso era apenas uma cena de filme, esse ransomware para Android fala com as vítimas e, em seguida, cobra um resgate em troca dos dados roubados. O número de detecções dessa ameaça cresceu bastante em 2016.
Esse ransomware para Android que pode falar, se propaga por meio de um dropper malicioso usado para descriptografar e executar o payload. O processo de infecção é ativado após a vítima abrir manualmente um aplicativo malicioso e dar clique em um botão que diz “Click for free activation”.
2017: Android/TrojanDownloader.Agent.JI
As ameaças informáticas estão cada vez mais inovadoras. Neste ano, esse novo trojan para Android simula cliques das vítimas para descarregar um perigoso malware.
Conforme nossa análise, esse trojan é projetado para dispositivos que usam o Android, incluindo as versões mais recentes. Além disso, se propaga através de sites comprometidos, como páginas de conteúdo para adultos, e também pelas redes sociais.
Sempre alerta!
Como vimos, os malware para dispositivos móveis evoluíram assim como os próprios dispositivos. Por isso, estar atento as novidades, ter em mente as boas práticas de segurança, agir sempre com cautela e contar com uma solução de segurança são ações que podem fazer toda a diferença para a proteção dos seus dados. Pense nisso!