A ESET está alertando aos usuários do sistema operacional Android sobre a proliferação de um novo ransomware, que usa um suposto vazamento de fotos para infectar smartphones. A mensagem contendo o download malicioso do Filecoder, como vem sendo chamada a praga, chega por SMS, a partir de contatos conhecidos, e traz tom de denúncia, com o remetente afirmando que as imagens do conhecido foram usadas de maneira indevida em um serviço ou site de conteúdo sexual.
Um link acompanha a mensagem e leva a vítima a um site onde um jogo de “simulação de sexo” pode ser baixado. É a partir dele que acontece a infecção, com a instalação também iniciando o contato com servidores de controle sob o comando de hackers, que inicia o trabalho de criptografar os arquivos disponíveis no celular.
Rapidamente, o usuário perde o acesso a arquivos de texto, mensagens, fotos e alguns aplicativos, que têm sua extensão alterada e deixam de funcionar. O aparelho não é bloqueado completamente, como normalmente acontece com ransomwares, mas uma mensagem exibida periodicamente passa a mostrar o total de dados bloqueados e a extorsão em si, enquanto a agenda de contatos é usada para disseminar o golpe.
Ramsonware chega em tom de denúncia e, ao ser baixado, criptografa e impede acesso a dados, que somente seriam liberados mediante pagamento (Imagens: ESET)
A tela, toda preta e com letras em vermelho, compondo um aspecto ameaçador, ainda fala que, caso não exista pagamento, os dados serão deletados em 72 horas a partir da infecção, enquanto os valores pedidos variam na casa dos R$ 3,5 mil em Bitcoins. Entretanto, não existem no código da praga indicações de que os arquivos efetivamente são destruídos após o prazo.
O Filecoder vem circulando desde o dia 12 de julho, mas o número de atingidos é desconhecido. De acordo com a ESET, as mensagens têm versões em 42 idiomas, com a tradução sendo fornecida a partir da linguagem usada no celular, enquanto um toque de personalização aparece com o uso do nome da possível vítima, obtido a partir do cadastro nos celulares daqueles já infectados.
Apesar disso, segundo os especialistas, o golpe apresenta baixa sofisticação, uma vez que é possível liberar o acesso aos arquivos mesmo sem o pagamento — um caminho que, também, não garante isso. A lista de extensões utilizada para realizar o bloqueio também inclui dados de outros sistemas operacionais, o que indica uma cópia do código do WannaCry, um dos malwares desse tipo mais perigosos dos últimos tempos, mas que não se aplica em todos os casos, como a nova descoberta demonstra.
Entretanto, com a praga se tornando popular, os pesquisadores consideram bastante provável que tais falhas de execução sejam corrigidas, tornando essa uma ameaça mais real e perigosa. A ESET acredita que o Filecoder não se tornou muito eficaz devido às falhas de execução e o aspecto claramente desastrado do golpe, entretanto, isso não significa que, com um pouco mais de maquiagem e trabalho, ele não se torne um risco.
A recomendação é que os usuários jamais cliquem em links recebidos por mensageiros ou redes sociais, mesmo que eles venham de gente conhecida. Jamais faça o download de arquivos e aplicativos que cheguem por esses meios e, caso acabe infectado, não realize o pagamento, já que nem mesmo isso é garantia de que os arquivos criptografados serão devolvidos.
Fonte: ESET via Canaltech.