O aumento do ransomware

O ransomware tornou-se um dos tipos de malware mais receados nos últimos anos. Um dos principais exemplares é a família Reveton, que deixa os seus dados intactos mas bloqueia o seu computador, exigindo-lhe um resgate para o libertar.

Outro ransomware famoso, o CryptoLocker, deixa o seu computador funcionar em pleno... mas encripta os seus dados exigindo-lhe uma quantia para os recuperar.

 

Trata-se de um valor geralmente em torno dos 300 dólares, curiosamente o mesmo cobrado nos esquemas de falso suporte técnico, e aparentemente o ponto de equilíbrio: não é demasiado ao ponto de ninguém pagar, e está relativamente ao alcance dos utilizadores que fiquem desesperados para recuperar o acesso aos seus ficheiros.

Mas nas últimas semanas, este tipo de ransomware que obriga ao pagamento de um desbloqueio deu o salto para o ecossistema Android, e o preço dessa recuperação é de... 300 Dólares.

Introdução ao "Koler"

Aquele que é talvez o ransomware mais conhecido para Android do momento, chama-se "Koler", uma ameaça que segue um padrão muito semelhante ao malware Reveton mencionado acima.

De facto, aparentemente os autores por trás do Reveton são os mesmos que criaram o Koler, seguindo uma fórmula criminosa que tem funcionado em computadores Windows.

O malware é semelhante ao que é vulgarmente conhecido como "vírus da polícia", e que se faz passar por um aviso das autoridades para bloquear o seu dispositivo Android com o pretexto de se encontra sob vigilância devido a alegada atividade criminosa.

Assim que o malware é ativado, apresenta uma janela com um aviso policial que acusa o utilizador afetado de visualizar pornografia ilegal.

No mesmo aviso, o malware exige o pagamento de uma suposta coima no referido valor de 300 dólares para devolver a utilização do dispositivo ao seu proprietário.

Felizmente, o Koler não surge no seu Android unicamente por surpresa.

De acordo com alguns relatórios, os criminosos estão a explorar a técnica de iludir os utilizadores com a necessidade de instalarem uma app específica para reproduzir vídeo, oferecendo-a para download.

Como o Koler não se encontra presente na Google Play Store, para instalarem aplicações a partir de outras fontes, os utilizadores terão que ativar a opção "Permitir instalação de aplicações de origens diferentes do Play Store" nas definições de segurança do Android. Como vem desativada por defeito, apenas os utilizadores que a ativem correrão o risco de serem afetados por esta ou outras ameaças que explorem o mesmo procedimento.

À semelhança do ransomware que explora este tipo de avisos policiais em Windows, o malware pode adaptar o conteúdo apresentado de acordo com o país ou idioma definidos no dispositivo.

Ao ativar o malware nos EUA, é apresentado um aviso em nome do "U.S.A. Cyber Crime Center" e do "FBI Department of Defense" (o que nem faz sentido porque o FBI não pertence ao DoD):

O aviso inclui algumas insígnias governamentais falsificados, e um conjunto de imagens, incluindo uma do Presidente Obama a apontar o dedo de forma acusatória no canto superior direito:

 

A versão portuguesa adota as mesmas características aplicadas à realidade nacional: uma imagem do nosso Presidente da República precisamente no mesmo local em que surge a do Presidente Obama na versão norte americana, assim como a insígnia da Polícia Judiciária entre outras. Já as versões de Espanha e Reino Unido, por exemplo, contam com a imagem do respetivo Rei e Rainha...

 

Se isto não for o suficiente para assustar o utilizador, a mensagem informa também (ainda que de forma ortograficamente descuidada e pouco credível para os mais atentos), que as autoridades bloquearam o telefone e encriptaram os ficheiros, para além de terem registos de todas as ações realizadas no dispositivo:

 

Ao prosseguir para o final da mensagem, é apresentado o método de pagamento dos 300 dólares e instruções sobre como o concluir de modo a desbloquear o dispositivo:

 

NOTA: todas as soluções Sophos, incluíndo o Sophos Free Anti-Virus and Security para Android, detectam este malware como Andr/Koler-A.

Como se libertar do Koler?

A boa notícia é que, na realidade, o Koler não encripta quaisquer dados nem regista áudio e vídeo como afirma nalgumas variantes do aviso. Limita-se a bloquear o seu dispositivo sobrepondo uma janela de browser no ecrã, que reaparece rapidamente ao tentar fechá-la.

A má notícia é que esse constante reaparecimento torna praticamente impossível aceder às definições para remover o malware.

Nem reiniciar ajuda, já que o malware volta a ação logo na fase inicial de arranque do sistema.

Uma reposição das definições de fábrica (ou factory reset) removerá definitivamente o malware, mas fará o mesmo com todas as suas apps instaladas e dados guardados.

A nossa recomendação é iniciar o Android em modo de segurança. O processo varia entre fabricantes e dispositivos, pelo que com uma pesquisa rápida no Google pela marca e modelo do seu dispositivo juntamente com a expressão "Safe Mode", encontrará o procedimento correto para si. Em breve publicaremos um artigo dedicado a este tipo de procedimentos nos dispositivos Android mais populares do mercado.

Mantenha-se protegido contra o "vírus da polícia"

Estas cinco medidas simples, ajudá-lo-ão a lidar com todo o tipo de malware para Android, incluindo aqueles que se comportam de forma tipicamente semelhante aos chamados "vírus da polícia":

• Instale um antivírus eficaz e reputável para verificar automaticamente todas as novas apps antes de serem executadas pela primeira vez.
• Seja cauteloso com as apps que lhe são oferecidas em anúncios e pop-ups.
• Mantenha a configuração por defeito no Android, de permitir apenas a instalação de apps provenientes da Google Play Store.
• Crie regularmente backups dos seus dados importantes, e guarde-os fora do dispositivo.
• Mantenha-se a par das últimas ameaças e eventos relacionados com segurança, seguindo-nos nas nossas páginas no Facebook, Twitter, LinkedIn e no nosso blog.