O Slocker Android Ransomware Surge como um Sosia do WannaCry
Pesquisadores do TrendMicro descobriram recentemente uma nova variante do Slocker, o primeiro ransomware para Android que ocorreu pela primeira vez no verão de 2016, antes de ressurgir com mais de 400 modificações em maio de 2017. A nova versão do Slocker, que supostamente surgiu no início de junho de 2017, é o primeiro a utilizar uma interface gráfica do usuário com uma semelhança impressionante com a do infame WannaCry Ransomware. Uma tentativa desesperada de capitalizar o nome deste último, que não teve um impacto significativo no final.
Índice
Vetor de Infecção
Anunciado principalmente por meio de fóruns chineses de QQ e BB, o Slocker apareceu em lojas de aplicativos de terceiros sob várias formas de player multimídia, ferramenta de trapaça de jogo ou qualquer outro aplicativo cheio de recursos interessantes o suficiente para chamar a atenção dos usuários. Aqueles que baixaram um player de vídeo ou uma ferramenta de trapaça de jogos aparentemente conseguiram o que procuravam - um ícone mostrando um player de vídeo ou uma ferramenta de trapaça. Como acabaria depois, nem o ícone nem o nome eram legítimos. Assim que os usuários clicaram no ícone do aplicativo baixado, ele mudou imediatamente, junto com o nome do aplicativo e o papel de parede do dispositivo Android.
Uma vez lançado, o Slocker executou sua carga útil em segundo plano.
Tela de bloqueio do Slocker e ícones antes e depois do lançamento - Fonte: TrendMicro
O Processo de Criptografia
Diferentemente de suas versões anteriores, que direcionavam apenas os dados do usuário armazenados apenas na memória interna do dispositivo infectado, o novo Slocker também ataca o armazenamento externo. Além disso, o Slocker criptografa apenas documentos, fotos e vídeos com tamanhos entre 10 KB e 50 MB, enquanto os arquivos do sistema Android permanecem intactos.
Antes de qualquer criptografia, no entanto, o Slocker gera um número aleatório, o coloca profundamente no sistema operacional móvel e, posteriormente, usa esse número (e seu MD5 em particular) para criar a criptografia AES final. Todos os arquivos criptografados recebem uma nova extensão que consiste em um número QQ combinado com o número aleatório. Quando todo o processo de criptografia é concluído, o Slocker abre uma nova janela fornecendo três métodos de pagamento diferentes - Alipay, WeChat ou QQ - todos levando a um mesmo código QR que exige pagamento através do serviço de pagamento móvel QQ. Embora o relatório da TrendMicro sobre o Slocker não contenha dados exatos, ele revela uma oferta promocional de três dias, oferecendo às vítimas a oportunidade de se safar com uma quantidade reduzida de resgate. Caso se recusem a aceitar a oferta, o valor do pagamento exigido aumentará nos próximos quatro dias. Caso nenhum pagamento ocorra dentro desses sete dias, os usuários infectados enfrentarão a perda total de dados.
Falha final de Slocker
Por mais perigoso que parecesse no começo, Slocker não causou nenhum dano grave devido a:
- algoritmo de criptografia fraco
- Distribuição esparsa fortemente dependente dos grupos de QQ e BB chineses
Quando apareceu pela primeira vez em 2 de junho de 2017, este WannaCry parecido aplicou uma criptografia AES com base no MD5 do número aleatório mencionado acima. No entanto, foram necessários apenas um dia para que os pesquisadores de segurança o quebrassem. Eles lançaram um decodificador totalmente funcional para essa variante Slocker em 3 de junho, depois de descobrir que ela tinha uma correlação linear com o número aleatório:
Chave de descriptografia = número aleatório + constante
Imagem aleatória e chave de descriptografia do número Slocker - Fonte: TrendMicro
A variante Slocker de 2 de junho tinha um número aleatório de 10049252, uma constante de 520, e sua chave de descriptografia era 10049772. Embora as variantes subsequentes do Slocker que surgiram nas próximas horas mais ou menos tenham alterado seus padrões de descriptografia, elas ainda podiam ser quebrado relativamente fácil, dizem os engenheiros de segurança.
Por outro lado, a colocação do Slocker em alguns fóruns chineses ajudou a restringir a exposição geográfica do malware e reduziu a pesquisa do(s) autor(es). Em 7 de junho, a polícia chinesa prendeu o ator por trás do cripto-vírus móvel de extorsão. No entanto, eles ainda precisam rastrear os bandidos responsáveis pelas demais variantes do Slocker. Dado que os novos vírus móveis estão se tornando cada vez mais comuns e sofisticados, pode ser apenas uma questão de tempo até vermos formas aprimoradas de malware muito mais difíceis de serem quebradas.