Um novo ransomware foi identificado pela empresa de segurança Trend Micro. A ameaça, chamada de FLocker, tem como principais alvos Smart TVs e dispositivos Android. Com base na análise da Trend Micro, não existe uma grande diferença entre a variante FLocker que pode infectar um dispositivo móvel e a versão atacante de Smart TVs.
Desde que o FLocker (identificado como ANDROIDOS_FLOCKER.A, abreviado de “Frantic Locker”) surgiu pela primeira vez em maio de 2015, a Trend Micro reuniu mais de 7 mil variantes no banco de amostras.
Porém, como constatado pela empresa, o autor reescreveu o malware diversas vezes para mudar a rotina da ameaça e assim, evitar a detecção. Ao longo dos últimos meses, a Trend Micro observou oscilações no número de interações liberadas. O último pico em meados de abril, teve mais de 1,2 variantes.
Para evitar a análise estática, o FLocker esconde seu código em arquivos de dados brutos dentro da pasta “ativos”. O arquivo criado é nomeado “form.html” e se parece com um arquivo normal.
Com isso, nenhum comportamento mal-intencionado pode ser identificado e o malware pode escapar da análise estática do código. Quando o malware é executado, ele decifra o “form.html” e executa o código malicioso.
O ransomware geralmente atinge os usuários via SMS spam ou links maliciosos. Por isso, a Trend Micro sugere que os usuários sejam cautelosos ao navegar na internet ou receberem mensagens e e-mails de origens desconhecidas.
A mais recente variante do FLocker, é um trojan que finge ser da Polícia Cibernética dos Estados Unidos e acusa potenciais vítimas de crimes que não cometeram. O cavalo de troia cobra uma multa de US$ 200, a qual deve ser paga em cartões de presente do iTunes.
Soluções
Se uma TV Android for infectada, a sugestão é que o usuário entre em contato com o fornecedor do dispositivo para avaliar uma solução viável.
Outra forma de remover o malware é se o usuário puder ativar a depuração ADB, conectando o seu dispositivo a um PC, iniciar o shell ADB e executar o comando “PM clear %pkg%”. Isso mata o processo do ransomware e desbloqueia a tela.
Os usuários podem, em seguida, desativar o privilégio de administração que foi concedido à aplicação e desinstalar o aplicativo do dispositivo.
