Novo ransomware se passa por rastreador de Coronavírus

Sem surpresa, as pessoas estão recorrendo à Internet para obter informações atualizadas sobre o surto de coronavírus, mas a sede de informações durante uma pandemia é uma oportunidade perfeita para hackers. Também é um bom momento para lembrar a todos que os hackers ainda estão trabalhando duro, mesmo em períodos preocupantes. 

Um aplicativo chamado “COVID19 Tracker”, mascarado de rastreador de mapas de surtos de coronavírus, na verdade é um ransomware que bloqueia o telefone e exige que você pague aos hackers US $ 100 em bitcoin dentro de 48 horas, segundo Chad Anderson e Tarik Saleh na empresa de segurança na Internet DomainTools .

Ler mais:
Microsoft Teams será liberado gratuitamente devido ao coronavírus
Essa ferramenta revela quais dos seus aplicativos favoritos estão compartilhando muitos dados
6 cursos de Ethical Hacking para estudantes de TI
Malware faz com que caixas eletrônicos cuspam todo dinheiro
Seis hacks de tecnologia simples que o tornarão mais produtivo

O relatório de Saleh de sexta-feira mostra que o aplicativo foi projetado para o sistema operacional Android e foi listado para usuários do Android que pesquisam na web por aplicativos de rastreamento de coronavírus. Para baixar o aplicativo, o usuário teria que ir diretamente ao site em que o aplicativo estava hospedado e fazer o download do aplicativo a partir daí. O aplicativo não estava disponível na Google Play Store, de acordo com Saleh.

O site parece ter sido desativado na segunda-feira à tarde, mas ainda estava em execução na segunda-feira de manhã. O site solicita aos visitantes que baixem um aplicativo, dizendo: “para usuários do Android: para obter um número em tempo real de casos de coronavírus com base na sua localização GPS, faça o download da versão do aplicativo para celular do site e ative ‘relatórios precisos’ para obter a melhor experiência”. O Business Insider não está vinculando ou postando o nome do site.

Uma vez aberto, o aplicativo solicita acesso à tela de bloqueio para fornecer “alertas instantâneos quando um paciente com coronavírus estiver perto de você”. O aplicativo também solicita permissão das configurações de acessibilidade de um telefone Android para “monitoramento de estado ativo”.

Se um usuário inocente conceder essas permissões ao aplicativo, o ransomware chamado “CovidLock” será ativado e a tela mudará para uma nota de resgate, mostrada abaixo:

A nota diz:

“Seu telefone está criptografado: você tem 48 horas para pagar 100 $ [sic] em bitcoin ou tudo será apagado.
1. O que será excluído? Seus contatos, suas fotos e vídeos, todas as contas de mídia social serão vazadas publicamente e os a memória do telefone será completamente apagada
2. Como salvá-lo? Você precisa de um código de descriptografia que desarme o aplicativo e desbloqueie seus dados como antes
3. Como obter o código de descriptografia, você precisa enviar 100 $ [sic] em bitcoin para o endereço [sic] abaixo, clique no botão abaixo para ver o código
Nota: Seu GPS é monitorado e sua localização é conhecida. Se você tentar algo estúpido, seu telefone será apagado automaticamente “

No final da nota, há um campo de texto em que a vítima deve inserir o código de descriptografia e um botão abaixo do campo de texto que diz “Descriptografar”.

Saleh observa que existem proteções contra esse tipo de ataque no sistema operacional Android desde o lançamento do Android 7 “Nougat” em 2016, desde que o usuário tenha definido uma senha para desbloquear o telefone. Sem uma senha de desbloqueio, os usuários ainda estão vulneráveis ​​a ataques como o ransomware CovidLock.

Saleh disse que a equipe de pesquisa de segurança do DomainTools fez a engenharia reversa da chave de descriptografia e a liberou publicamente aqui para que as vítimas pudessem desbloquear seus dispositivos sem pagar o resgate.

Quando perguntados se os hackers poderiam simplesmente gerar uma nova chave de descriptografia, o DomainTools disse ao Business Insider que os hackers precisariam reescrever o malware e reimplementá-lo, e uma nova chave não afetaria ninguém que já tivesse baixado o aplicativo infectado. “Essa é uma das grandes falhas do CovidLock”, disse o DomainTools.

A empresa também está monitorando a carteira de bitcoins dos hackers e sua atividade, e o DomainTools disse ao Business Insider que ninguém pagou o resgate aos hackers até o momento, mas a empresa ainda não tem certeza de quantas pessoas baixaram o aplicativo. 

O DomainTools recomenda que as pessoas obtenham informações sobre o COVID-19 de fontes confiáveis, como governo e instituições de pesquisa. Também sugere que as pessoas não abrem e-mails ou clicam em links com conteúdo relacionado à saúde, pois os malfeitores estão “tentando capitalizar o medo”. E, finalmente, aconselha os usuários do Android a baixar aplicativos exclusivamente da Google Play Store, onde há menos risco de baixar malware. 

Esta não é a primeira instância de aplicativos de malware que se disfarçam de aplicativos de rastreamento relacionados ao coronavírus. Na semana passada, os pesquisadores de segurança cibernética identificaram vários mapas falsos de rastreadores COVID-19 que infectam os computadores das pessoas com malware quando abertos.

Referência: Business insider

Felipe Santos
Felipe Santos é Arquiteto de Cloud e Segurança, com vivência em Administração de Ambientes Windows Server, Cluster, Storages, Backups Veeam e Office 365.
pt_BRPortuguese

ATÉ 90% DE DESCONTO

DECOLE SUA CARREIRA!!

Quer dar um upgrade na sua carreira? 

Invista em você e saia na frente! Conquiste aquele emprego dos sonhos em 2021!