Al començament del mes de juny passat es va detectar una nova variant del
ransomware mòbil SLocker (identificat per Trend Micro com ANDROIDOS_SLOCKER.OPST), copiant la interfície gràfica d'usuari (GUI, per les sigles en anglès) del nociu
WannaCry. La família SLocker és un dels
ransomware més antics de xifrat d'arxius i de bloqueig de la pantalla del mòbil i s'utilitza per fer-se passar per organismes i forces de seguretat per convèncer les víctimes que paguin el rescat que se'ls demana. Després d'uns anys d'escassa activitat, va experimentar un sobtat ressorgiment al maig passat. Aquesta variant en particular destaca per ser un
ransomware de xifrat d'arxius d'Android i el primer
ransomware mòbil per capitalitzar l'èxit de l'anterior brot de
WannaCry.
Si bé aquesta variant SLocker es caracteritza per ser capaç de xifrar arxius en mòbils, la seva trajectòria ha estat força breu. Poc després que el
ransomware sorgís a la llum, es van publicar eines de desxifrat. I en poc temps, es van trobar més variants. Cinc dies després de la seva detecció inicial, el sospitós que suposadament era responsable del
ransomware va ser arrestat per la policia xinesa. Per sort, a causa dels canals de transmissió limitats (es va estendre principalment a través de fòrums com els grups QQ i els sistemes de tauler d'anuncis (BBS, per les sigles en anglès), el nombre de víctimes va ser molt baix.
La mostra original capturada per Trend Micro va ser nomenada " ?? ?? ?? " (King of Glory Auxiliary), que es feia passar per una eina de trucs per al joc
King of Glory. Quan està instal·lat, l'aparença és similar a
WannaCry, que ja ha servit com a font d'inspiració a alguns imitadors.
Aquest
ransomware es camufla sota l'aparença de guies de joc, reproductors de vídeo, etc. per atraure els usuaris a la seva instal·lació. Quan s'instal·la per primera vegada, la seva icona s'assembla a una guia de joc normal o una eina de trucs. Una vegada que s'executi, l'aplicació canviarà la icona i el nom, juntament amb el fons de pantalla del dispositiu infectat. Anuncia un àlies d'activitat desactivat per "com.android.tencent.zdevs.bah.MainActivity". A continuació, canvia la seva icona desactivant l'activitat original i habilitant l'àlies.
Com xifra arxius el ransomware?
Quan el
ransomware s'instal·la, comprovarà si s'ha executat abans. Si no és així, generarà un nombre aleatori i l'emmagatzemarà en SharedPreferences, que és on es guarden les dades permanents de l'aplicació. A continuació, localitzarà directori d'emmagatzematge extern del dispositiu i iniciarà un nou fil o subprocés.
Aquest fil primer passarà pel directori d'emmagatzematge extern per trobar arxius que compleixin amb requisits específics:
• Les rutes en minúscules dels arxius de destinació no han de contenir "/.", "Android", "com" i "miad".
• Amb l'emmagatzematge extern com arrel, els arxius de destinació han d'estar en directoris el nivell de directori sigui inferior a 3 o que les rutes d'arxiu en minúscules continguin "baidunetdisk", "download" o "DCIM".
• El nom de fitxer ha de contenir "." i la longitud de byte del nom de l'arxiu xifrat ha de ser inferior a 251.
• L'arxiu ha de tenir més de 10 KB i menys de 50 MB
Trend Micro s'ha observat que el
ransomware evita el xifrat dels arxius del sistema centrant-se en els arxius descarregats i imatges, i només xifra els arxius que tenen sufixos (arxius de text, imatges, vídeos). Quan es troba un arxiu que compleix amb tots els requisits, el fil utilitzarà ExecutorService (una alternativa per a Java per executar tasques asíncrones) per executar una nova tasca.
La nova tasca farà servir un mètode anomenat "
getsss" per generar una codificació basada en el nombre aleatori generat prèviament. Aquest mètode calcula el MD5 del nombre aleatori i selecciona 16 caràcters com una cadena de la representació hexadecimal del MD5. Després que es genera la cadena, l'
ransomware l'enviarà a SecretKeySpec per construir la clau final per AES abans d'usar AES per xifrar arxius.
Una vegada que s'hagi xifrat l'arxiu, s'afegirà un sufix al nom de l'arxiu. El sufix conté un nombre QQ i el nombre aleatori utilitzat per generar el xifrat.
El
ransomware es presenta a les víctimes amb tres opcions per pagar el rescat, però en la mostra analitzada per Trend Micro, les tres van dur al mateix codi QR que demana a les víctimes que paguin a través de QQ (un servei de pagament per mòbil molt popular a la Xina). Si les víctimes es neguen a pagar després de tres dies, el preu del rescat anirà augmentant. L'usuari és amenaçat amb l'eliminació de tots els arxius després d'una setmana.
El
malware avisa les víctimes que rebran una clau de desxifrat un cop hagin pagat el rescat. En la seva anàlisi, Trend Micro va trobar que, si les víctimes introdueixen la clau i fan clic al botó Desxifrar, el
ransomware compararà la clau d'entrada amb el valor en MainActivity.m. Però després de localitzar MainActivity.m.
Però després de localitzar MainActivity.m, trobem que el valor és realment el nombre aleatori esmentat anteriorment més 520.
Apareixen nombroses noves variants
Després que el
ransomware inicial fos exposat, han aparegut més variants. Encara que algunes d'elles han canviat el mètode per generar la clau de desxifrat, l'usuari encara pot desxifrar els arxius si es fixa en la nova fórmula:
Solucions i recomanacions
Per mantenir la informació segura en els dispositius mòbils, Trend Micro ofereix una sèrie de consells per protegir-lo del
ransomware:
• Només instal·lar aplicacions descarregades de les app stores legítimes, com Google Play
• Anar amb compte amb els permisos que sol·licita una aplicació, especialment els permisos que permeten l'aplicació llegir / escriure en un emmagatzematge extern
• Realitzar còpies de seguretat de les dades amb regularitat, ja sigui en un altre dispositiu segur o emmagatzemada al núvol
• Instal·lar solucions antivirus integrals. Les solucions de seguretat mòbil, com Trend Micro Mobile Security, bloquegen les amenaces de les
app stores abans que es puguin instal·lar i causin danys als dispositius, mentre que Trend Micro Maximum Security ofereix protecció en profunditat per a diversos dispositius i protegeix de forma proactiva contra l'amenaça del
ransomware.
Font: RedesTelecom