Imagem: Reprodução/Pixabay

A empresa de segurança ESET alerta para o aumento significativo dos ataques do Guildma, um poderoso trojan bancário que também é conhecido como Astaroth e mira especialmente os usuários da América Latina. Desenvolvida em Delphi, a ameaça chegou a ter pico de 50 mil detecções por dia em 2019, e agora no início de 2020 volta a ter quase metade dessas incidências.

Segundo a ESET, o Guildma é o mais impactante e avançado trojan bancário na região. Além de ter instituições financeiras como alvo, ele também tenta roubar credenciais por meio de e-mails, compras online e serviços de streaming, e afeta pelo menos dez vezes mais vítimas do que outras ameaças semelhantes na América Latina.

Diferentemente de outros malwares, o Guildma não armazena as janelas pop-up falsas que usa dentro do código binário. Em vez disso, o ataque é orquestrado pelos seus servidores de Comando e Controle. Isso dá ao autor uma ótima flexibilidade para reagir a medidas implementadas pelos bancos-alvos.

Quando executado na máquina, o Guildma faz captura de tela, registra teclas pressionadas, emula teclado e mouse, bloqueia atalhos e também desabilita o Alt + F4 para dificultar sair de janelas falsas que ele mostra, além de fazer downloads, executar arquivos e reiniciar a máquina. Como dá para notar, ele pode realmente dar muita dor de cabeça para as vítimas.

Como o trojan se espalha

Aparentemente, o Guildma tem passado por muitas versões durante sua trajetória, mas geralmente há muito pouco desenvolvimento entre elas. Devido à sua arquitetura desajeitada, que utiliza valores de configuração codificados, na maioria dos casos os autores precisam recompilar todos os códigos binários para cada nova campanha. Esse trabalho não é completamente automatizado e maior evidência disso é o atraso significativo entre atualização do número da versão nos scripts e os binários.

A versão analisada pela ESET é a de número 150, mas, desde que a pesquisa começou, outras duas edições foram lançadas. Elas não contêm mudanças significativas na funcionalidade ou distribuição, apenas algumas otimizações sutis.

O Guildma normalmente chega em um anexo com extensão html, via spam, com informações bancárias. Abaixo, ele se disfarça de um comprovante de transferência.

Imagem: Reprodução/ESET

Já neste outro exemplo, ele vem na forma de uma fatura.

Imagem: Reprodução/ESET

Os golpistas costumam usar ferramentas do próprio sistema, mas sempre com alguma abordagem diferente, apostando na distração das vítimas. Para conseguir se espalhar com mais amplitude, o Guildma consegue endereços em redes sociais e no YouTube.

Como evitar o Guildma?

Assim com a maioria das ameaças desse tipo, a praga precisa que o usuário abra o arquivo malicioso do anexo. Por isso, nunca execute ou baixe arquivos que venham de uma fonte desconhecida, ou pelo menos suspeita, se você não tiver certeza do que se trata.

O Spyware é um software espião que costuma ser instalado no celular ou no computador sem o consentimento do usuário. Na América Latina, Brasil é o país com o maior número de detecções da ameaça.

Geralmente, quando perguntamos aos participantes de uma palestra ou treinamento quais códigos maliciosos eles conhecem e quais consideram os mais perigosos, o primeiro destacado é quase sempre o Ransomware. Isso faz sentido se pensarmos que esse código malicioso é um dos que mais chama a atenção (mensagens de resgate e bloqueios de tela).

No entanto, a grande maioria das ameaças de computador são sigilosas e tentam permanecer escondidas no sistema enquanto roubam informações, mineram criptomoedas, usam recursos do usuário ou simplesmente esperam por comandos do C&C do atacante. Este é o caso do spyware, uma variedade de malware sigiloso usado por um atacante para monitorar o computador de uma vítima sem o seu consentimento. Neste sentido, esse tipo de ameaça é projetada principalmente para a recuperação remota de senhas e outras informações confidenciais dos computadores de suas vítimas, e pode ser classificado em quatro tipos diferentes: adware, monitores de sistema, cookies de rastreamento e trojans.

Nos últimos 12 meses detectamos uma grande quantidade de spyware em países da América Latina, principalmente no Brasil, México e Peru, seguidos em menor proporção por Argentina e Colômbia. Embora muitas dessas detecções sejam de famílias de spyware genéricas ou estejam se espalhando pelo mundo, outras são códigos maliciosos direcionados a países da América Latina.

Emotet: uma ameaça que continua ativa

O primeiro é o caso do trojan Emotet, um malware muito poderoso que temos visto na América Latina desde 2015 e que detectamos com a assinatura Win32/Emotet. Este código malicioso, que evoluiu nos últimos anos, tem como principal objetivo o roubo de credenciais bancárias e de dados financeiros, embora tenha incluído outros recursos nas suas últimas versões, tais como propagação na rede, coleta de informações sensíveis, encaminhamento de portas, entre outros.

Outra característica do Emotet é o uso de e-mails e Engenharia Social para sua propagação, fazendo-se passar por empresas conhecidas e também aproveitando promoções especiais como a Black Friday. Em todos esses casos, o usuário recebe um e-mail com um arquivo anexo, que usa macros e código incorporado no documento para baixar o spyware de um servidor da Internet. Se levarmos em conta que o macro malware dobrou nos últimos anos no México, não é surpreendente que este seja o país com o maior número de detecções do Emotet no ano passado. Em seguida, Equador, Colômbia e Argentina em percentagens semelhantes.

Embora a maior porcentagem de detecções dessa ameaça tenha ocorrido no final de 2018, recentemente foi detectada uma nova onda de atividade do Emotec usando novos métodos para esconder seus macros nos e-mails recebidos. Em países como o Chile, a Computer Security Incident Response Team (CSIRT) do país alertou sobre uma recente campanha de phishing tentando propagar a ameaça. Além disso, também foi possível verificar que outros países fora da América Latina, como a Espanha, detectaram uma grande atividade de trojans nas últimas semanas.

Mekotio: um trojan bancário que afeta principalmente o Chile

Por outro lado, temos outro trojan bancário conhecido como Mekotio, que se concentra principalmente no Chile com mais de 70% das detecções na região, seguido pelo Brasil com 24%.

Este trojan espião é caracterizado por se fazer passar por empresas de serviços por e-mail contendo um link para baixar uma suposta fatura, que na verdade baixa um arquivo .zip contendo o trojan. O interessante desta ameaça é que ela é totalmente dirigida aos usuários chilenos, já que está geolocalizada e o link de download só funciona a partir de endereços IP do Chile.

Embora a maior atividade desta ameaça tenha sido detectada em agosto do ano passado, nos chamou a atenção o seu reaparecimento nos últimos meses de 2019 com novas campanhas de Engenharia Social através de e-mails, como a recente campanha, novamente direcionada a usuários no Chile, na qual a ameaça foi propagada através de e-mails que se fazem passar por empresas de serviços.

Continuando com outras ameaças de características semelhantes, encontramos o Amavaldo, um código malicioso destinado a roubar credenciais bancárias e dados financeiros de usuários no Brasil e no México. Para infectar suas vítimas, Amavaldo usa um único downloader, que consiste em um arquivo executável do Windows que muitas vezes finge ser o instalador de software legítimo. Além disso, utiliza técnicas de Engenharia Social com o intuito de levar a vítima a tomar uma ação relacionada com o seu banco, como, por exemplo, a verificação dos dados do cartão de crédito. Além disso, a ameaça monitora as janelas ativas no computador da vítima e, caso detecte uma janela relacionada a um banco, o malware entra em ação exibindo uma janela pop-up falsa que se faz passar pelo banco para, por exemplo, roubar dados privados da vítima.

Como outros códigos de espionagem, as últimas versões do Amavaldo suportam recursos como captura de tela, captura de fotos através de webcam, keylogger, execução de código e assim por diante.

Esta ameaça relativamente nova tornou-se popular no início deste ano e hoje continuamos vendo um grande número de detecções no Brasil.

Embora estas sejam algumas das famílias mais comuns de códigos maliciosos de espionagem encontrados na América Latina, a lista é muito mais longa. De janeiro a agosto de 2019, detectamos mais de 1970 variantes de spyware em países da região, pertencentes a mais de 35 famílias diferentes de malware.

Por outro lado, mais de 80% das variantes destes códigos maliciosos são desenvolvidas para a plataforma Windows, o que faz sentido se considerarmos que os métodos de propagação mais utilizados para estes tipos de ameaças são os e-mails e os aplicativos piratas. No entanto, não devemos perder de vista os dispositivos móveis, uma vez que o spyware também pode ser encontrado nestas plataformas, mesmo nas lojas oficiais.

Para evitar a ameaça, sugerimos sempre contar com ferramentas de segurança abrangentes, dispositivos e software atualizados.

Nunca é uma boa notícia receber um alerta do “Já fui invadido?” (Have I Pwned? – HIBP), entretanto, é melhor estar ciente disso do que não suspeitar de nada. Fundada por Troy Hunt após a embaraçosa violação da Abobe em 2013, a HIBP é uma lista que contém uma base de contas de e-mail violadas e roubadas, que permite ao usuário verificar se a sua já foi divulgada entre cibercriminosos.

Essa lista é gigantesca e, recentemente, um pesquisador chamado Benkow, descobriu por meio de um servidor baseado na Holanda, que 711 milhões de novos endereços foram adicionados à essa base. Esses e-mails estavam dentro de um arquivo de texto utilizado para alimentar o spambot Onliner.

O HIBP me informou que estou nessa lista com um endereço de e-mail antigo, registrado em um domínio que usei há anos. Essa é a terceira vez que o site o detectou dentro de um cache de violação em um período de quatro anos. Diante dessa revelação, eu ou qualquer outra pessoa que receba o mesmo alerta HIBP, deveria estar preocupado?

O cache tem um tamanho monstruoso — apenas para um senso de escala, isso equivale à um endereço para cada homem, mulher e criança em toda Europa. É verdade que o transporte de 711 milhões de e-mails é o maior já relatado pelo site, mas alguns deles já foram expostos em violações anteriores, no meu caso, na lista da Adobe, 152 milhões, e na do Dropbox, 68 milhões em 2012. Vindos de diferentes fontes, os números não são cumulativos.

A HIBP também descreve meu endereço de e-mail como “invadido”, embora, estritamente falando, são os sites que permitiram a violação que merecem ser punidos. Minha única falha foi confiar o endereço às empresas que não conseguiram protegê-lo.Grande parte do cache novo parece conter endereços de e-mail, o que significa que qualquer pessoa cujo endereço apareça na lista será alvo de spam, incluindo, no caso do Onliner, o malware bancário da Ursnif. Como meu endereço de e-mail já apareceu em violações anteriores, sem dúvida, não estou pior do que antes.

Uma preocupação maior, no entanto, pode ser o grupo cujas senhas estão reveladas, incluindo as que aparentemente foram extraídas de hashes SHA-1, que faziam parte da violação do LinkedIn de 2012, cuja escala preocupante não foi divulgada até 2016. Outros arquivos continham milhares de credenciais de servidor de e-mail, incluindo servidor SMTP e configuração de porta. Milhares de contas SMTP válidas dão ao spammer uma boa variedade de servidores de correio para enviar suas mensagens.

Por outro lado, o pesquisador Benkow também estima um total de 80 milhões de credenciais de diferentes tipos. Agora, ele está tentando fazer com que os dados do cache sejam removidos do site, que ainda está disponível e acessível para quem sabe onde procurar. Ironicamente, quem estava cultivando esses dados não dedicou muito esforço para mantê-los seguros e reservados.

Qualquer pessoa que tenha receio de ser afetada pode verificar o HIBP manualmente, usando seus endereços de e-mail ou nome da conta. E, qualquer pessoa preocupada com suas credenciais do servidor de e-mail deve mudar a senha, antes mesmo de se encontrar nessa lista. Às vezes, é melhor saber o que realmente está acontecendo, mesmo que esse conhecimento seja deprimente ou preocupante. No caso deste cache, os endereços, credenciais e dados pessoais há muito se tornaram uma mercadoria criminosa. Isso não pode ser interrompido ou revertido, apenas contido.

Mas, por outro lado, os endereços de e-mail e as credenciais podem ser alterados. Mais do que pode ser dito aos usuários cujos nomes, endereços, datas de nascimento e números de segurança social foram violados. Este novo cache de e-mails violados parece ruim — mas poderia ser ainda muito pior.

Um grupo de pesquisadores da University of Washington conseguiu infectar um computador usando um arquivo nocivo inscrito em um pedaço de DNA. O projeto foi feito como parte de uma pesquisa de segurança em torno dos programas usados para transcrição e edição genética.

De acordo com o TechCrunch, a equipe se deu conta de que a ferramenta de transcrição de DNA continha “vulnerabilidades elementares”. Para demonstrar essas brechas, eles fabricaram um pedaço de DNA muito pequeno (com apenas 176 bases nitrogenadas) que, ao ser lido, era convertido em um código malicioso capaz de executar comandos no sistema.

Traduzindo do biológico para o digital

Os programas de transcrição de DNA “leem” as bases nitrogenadas presentes no código genético e transcrevem-nas em bits, unidades básicas da linguagem binária (uns e zeros). O DNA de todos os seres vivos do planeta é composto por quatro dessas bases: adenina, citosina, guanina e timina (ou A, C, G e T). Cada uma delas é convertida em dois bits (A vira 00, C vira 01, G vira 10 e T vira 11).

Essa conversão é feita em um buffer de tamanho fixo. Ou seja, um número igual de bases é lido por vez. Isso torna o sistema vulnerável a ataques de “buffer overflow”, ou estouro de buffer. Esses ataques usam código que, ao ser lido, ultrapassa os limites do buffer e faz com que ele escreva por cima da memória adjacente, o que pode ameaçar o sistema.

Foi justamente essa possibilidade que os pesquisadores quiseram explorar, de acordo com o estudo publicado por eles. Para isso, eles criaram um código genético de 176 bases (ou 352 bits) que fazia exatamente isso ao ser inserido na máquina para transcrição. Como tratava-se apenas de uma demonstração da possibilidade, o código não fazia nada de mal além de demonstrar a necessidade de medidas mais rígidas de segurança para programas desse tipo.

O verdadeiro vírus de computador

Segundo Lee Organick, uma dos cientistas envolvidas no projeto, esse ataque mostra que seria tecnicamente possível criar, por exemplo, uma bactéria capaz de destruir robôs. “Uma amostra criada sob medida poderia, de fato, ser usada como vetor para que DNA malicioso fosse processado e executado após sequenciamento”, confirmou.

Também seria possível inserir o “vírus de computador” numa amostra de sangue enviada para a máquina, em outro exemplo. De qualquer maneira, não seria fácil. “Fazer com que o ramo de DNA malicioso entrasse no sequenciador é muito difícil e apresenta muitos desafios técnicos”, ressaltou Organick. “E mesmo assim, ele talvez não estivesse num formato usável. Ele poderia estar fragmentado demais para ser legível, por exemplo”, continuou.

Durante a análise de diversas campanhas de espionagem e crimes virtuais, os pesquisadores da Kaspersky Lab identificaram uma nova tendência preocupante: hackers estão usando cada vez mais a esteganografia, a versão digital de uma técnica antiga para ocultar mensagens em imagens de modo a encobrir as pistas de sua atividade maliciosa no computador invadido.

Recentemente, foram descobertas várias operações de malware voltadas à espionagem virtual e diversos exemplos de malwares criados para roubar informações financeiras que utilizam essa técnica.

Da mesma forma que nos ataques virtuais direcionados típicos, o agente da ameaça, depois de invadir a rede atacada, se estabelece e coleta informações valiosas para depois transferi-las para o servidor de comando e controle (C&C). Na maioria dos casos, as soluções de segurança confiáveis ou as análises de segurança feitas por profissionais são capazes de identificar a presença do agente da ameaça na rede em cada estágio do ataque, inclusive durante a extração de dados. Isso porque, durante a extração, são deixados rastros, como o registro de conexões com um endereço IP desconhecido ou incluído em listas negras. No entanto, quando se usa a esteganografia, a tarefa de detectar a extração de dados torna-se complicada.

Nesse cenário, os usuários maliciosos inserem as informações que serão roubadas diretamente no código de um arquivo comum de imagem ou de vídeo, que é então enviado para o servidor C&C. Dessa forma, é pouco provável que esse evento acione qualquer alarme de segurança ou tecnologia de proteção de dados. Após a modificação pelo invasor, a própria imagem não é alterada visualmente; seu tamanho e a maioria dos outros parâmetros também permanecem iguais e, assim, ela não seria motivo de preocupação. Isso torna a esteganografia um método lucrativo para os agentes mal-intencionados como opção de extração de dados de uma rede invadida.

Nos últimos meses, os pesquisadores da Kaspersky Lab observaram pelo menos três operações de espionagem virtual que utilizam essa técnica. E, mais preocupante, ela também está sendo ativamente adotada por criminosos virtuais regulares, além dos agentes de espionagem virtual. Os pesquisadores da Kaspersky Lab detectaram sua utilização em versões atualizadas de cavalos de Troia como o Zerp, ZeusVM, Kins, Triton e outros. A maioria dessas famílias de malware, de modo geral, visa organizações financeiras e usuários de serviços financeiros. Isso pode ser um indício da iminente adoção dessa técnica em grande escala pelos criadores de malware, o que tornaria a detecção do malware mais complexa.

“Embora não seja a primeira vez que observamos uma técnica maliciosa originalmente usada por agentes de ameaças sofisticadas encontrar espaço no cenário do malware convencional, o caso da esteganografia é especialmente importante. Até o momento, não foi descoberta uma forma segura de detectar a extração de dados conduzida dessa maneira. As imagens usadas pelos invasores como ferramenta de transporte das informações roubadas são muito grandes e, embora haja algoritmos que poderiam indicar o uso da técnica, sua implementação em grande escala exigiria enorme capacidade de computação e seus custos seriam proibitivos”, explica Alexey Shulmin, pesquisador de segurança da Kaspersky Lab.

Por outro lado, observa o pesquisador, é relativamente fácil identificar uma imagem “carregada” com dados sigilosos roubados pela análise manual. Esse método, no entanto, tem limitações, pois um analista de segurança seria capaz de analisar um número muito limitado de imagens. “Talvez a resposta esteja na mistura dos dois. Na Kaspersky Lab, usamos uma associação de tecnologias de análise automatizada com o conhecimento humano para identificar e detectar esses ataques. Contudo, essa área ainda deve ser aperfeiçoada, e o objetivo de nossas investigações é chamar a atenção do setor para a questão e impor o desenvolvimento de tecnologias confiáveis, mas financeiramente viáveis, que permitam a identificação da esteganografia nos ataques de malware”, completa Shulmin. 

Se você ainda precisa de razões para manter seu smartphone sempre atualizado, aqui vai mais uma: foi descoberta uma vulnerabilidade que permite invadir aparelhos desatualizados através do Wi-Fi sem que o dono do dispositivo faça nada de errado.

O problema, apelidado de Broadpwn, foi detalhado nesta quinta-feira, 27, por Nitay Artenstein, pesquisador da Exodus Intelligence, durante um evento sobre segurança realizado em Las Vegas, nos EUA.

Conforme explicado por Artenstein, existe uma série de falhas nos chips de Wi-Fi produzidos pela Broadcom que estão presentes em aparelhos com Android e iOS. Smartphones de ponta, como os das linhas Galaxy (Samsung), Nexus (Google) e os iPhones (Apple), poderiam ser afetados.

As vulnerabilidades tornariam possível o uso de um malware que saltaria de um dispositivo a outro sem parar. O hacker conseguiria montar o golpe configurando o vírus para que ele reescrevesse programas diretamente pelo chip e tomasse controle sobre o aparelho.

E tudo isso ocorreria sem qualquer intervenção do usuário. Ao contrário de golpes que envolvem engenharia social, a pessoa poderia ser afetada mesmo que se mantivesse longe de lojas não oficiais de aplicativos e de phishing — bastaria estar próxima o suficiente de outro aparelho infectado.

A boa notícia, conforme relata o The Guardian, é que o tal malware não conseguiria ir do firmware do chip para o dispositivo, então sua área de atuação é limitada. No exemplo mostrado por Artenstein no evento, só o que o smartphone afetado fazia após ser atacado era emitir um som constante avisando que havia sido comprometido.

Outra “sorte” em relação ao problema é que ele já foi corrigido antes que alguém pudesse descobrir se há como fazer a transição do firmware para o sistema. A versão 10.3.3 do iOS e a atualização de julho do Android deram um jeito na questão.

Palo Alto Networks detectou 9.125 amostras do spam malicioso associado como o Banload, uma família de cavalo de Tróia que faz download de outros malwares

A Palo Alto Networks identificou uma nova forma de malware que está se espalhando por e-mails dos brasileiros. Desde dezembro de 2013, a empresa detectou 9.125 amostras do spam malicioso (malspam) associado como o Banload, uma família de cavalo de Tróia que faz download de outros malwares. Somente neste ano, foram detectadas 2.113 amostras desse malware.

O processo de infecção acontece em várias etapas. No ataque, os usuários recebem uma mensagem que afirma ser a terceira e última notificação para o pagamento do IPTU (Imposto Brasileiro, Territorial e Urbano) da Prefeitura com um arquivo para ser baixado.

Ao baixar o que o usuário acredita ser um boleto IPTU, ele salva em seu computador um arquivo zip contendo um Windows executável e um arquivo DLL malicioso e a princípio nada acontece.

A próxima parte da infecção acontece quando o usuário precisa utilizar o sistema bancário online. No Brasil, a maioria dos bancos utiliza um plugin de segurança bancária chamado G-Buster Browser Defense, desenvolvido pela GAS Tecnologia. Dentro dele, há um executável chamado GbpSv.exe que foi projetado para carregar um arquivo DLL nomeado fltLib.dll.

Em ambos os arquivos, é possível identificar a presença de um DLL, que é o componente verdadeiramente malicioso dos dois itens. A técnica de carregar DLL malicioso usando um arquivo legítimo executável é conhecida como Side Loading (carregamento lateral). Ela é cada vez mais usada pelos criminosos para esconder o conteúdo malicioso em arquivos DLL. O arquivo DLL parece ser malware de botnet e provavelmente possui um componente de roubo de informações comum a outros malwares vistos neste tipo de malspam brasileiro.

Confira o passo a passo de como essa infecção acontece:

Passo 1

Os usuários recebem uma mensagem que afirma ser a 3ª e última notificação para o pagamento do IPTU (Imposto Brasileiro, Territorial e Urbano) da Prefeitura, com um link gerado pelo serviço de encurtador de URL do Google.

Passo 2

Ao clicar na URL do e-mail, o usuário é redirecionado para um endereço do Dropbox, onde é fornecido um arquivo zip para a vítima baixar.

Passo 3

Ao clicar duas vezes no atalho baixado, o usuário do Windows abre a pasta infectada e deixa o seu computador vulnerável para o ataque

Passo 4

A pasta zipada contém um atalho para o Microsoft Windows com dois arquivos: um Windows executável e legítimo e um arquivo DLL malicioso. A técnica conhecida como Squiblydoo extrai e armazena no usuário do Windows o arquivo infectado em um diretório de nome aleatório sob a pasta AppData/Local/Roaming do usuário.

Passo 5

Paralelo a isso, o usuário instala em seu computador um plugin bancário do G-Buster Browser Defense, originalmente desenvolvido pela GAS Tecnologia. A versão mais recente desse software é chamada Diagnóstico Warsaw. Nos últimos anos, esse sistema tem sido usado por diversas instituições financeiras no Brasil para prevenir fraudes bancárias garantindo uma identificação correta entre o computador do usuário, o banco e a conta bancária.

O componente executável do G-Buster não é malicioso, embora esta versão específica não esteja mais em uso. Originalmente chamado GbpSv.exe, este é um executável assinado que geralmente não mostrará como malware pela maioria dos programas antivírus.

Tráfego pós-infecção

Durante os testes, a Palo Alto Networks identificou que o tráfego (veja imagem abaixo) pós-infecção consistiu em uma única solicitação HTTP POST que retornou informações sobre outros usuários infectados. Foram detectados dados em mais de 400 computadores Windows infectados no texto de retorno deste pedido HTTP. A maioria dos usuários infectados estava localizada no Brasil, mas também foram encontrados usuários na Argentina, República Tcheca e Rússia.

O Google e o Dropbox foram notificados sobre as URLs maliciosas e os clientes da Palo Alto Networks estão protegidos contra esse tráfego. Uma infecção semelhante com características de correspondência foi observada em julho de 2017 e é uma tendência que deve continuar.

Os usuários localizados no Brasil ou pessoas que usam serviços bancários on-line brasileiros devem estar cientes dessa ameaça e tomar as precauções necessárias, como não clicar em links em e-mails suspeitos. A Palo Alto Networks continuará a investigar esta atividade e aprimorar a plataforma de prevenção de ameaças.

Em vez de criptografar arquivos, um novo ransomware que atinge smartphones com Android prejudica usuários de outra forma: ele ameaça expor o histórico de navegação na internet para os amigos da pessoa.

O LeakerLocker, descoberto por pesquisadores da McAfee dentro de um app na Google Play Store, não atua como outras ameaças do tipo, que criptografam os arquivos de um dispositivo e só liberam o acesso a eles depois do pagamento de uma recompensa em dinheiro. Em vez disso, ele diz fazer backup de todos os dados armazenados em um aparelho e ameaça compartilhá-los com todos os contatos caso não seja feito um pagamento de US$ 50.

O ransomware foi encontrado em dois apps disponíveis na Google Play Store: o Walpapers Blur HD, baixado entre 5.000 e 10 mil vezes, e o Booster & Cleaner Pro, baixado entre 1.000 e 5.000 vezes. Isso faz com que a quantidade de potenciais vítimas do golpe seja de até 15 mil pessoas.

Ele alega coletar fotos, mensagens do Facebook, histórico da web, e-mails, histórico de localização e mais. O compartilhamento dessas informações com contatos pode causar problemas para muitas pessoas.

Mas, segundo a McAfee, ele pode não ser capaz de fazer tudo o que diz fazer: análise dos códigos do vírus indicam que ele consegue acessar endereços de e-mail, algumas informações de contato, histórico de navegação do Chrome, mensagens de texto, chamadas telefônicas e fotos da câmera.

Por isso, os pesquisadores orientam as possíveis vítimas a não realizar o pagamento pedido, já que não há indícios de que de fato ele vai divulgar as informações como diz fazer.

O sucesso recente do WannaCry gerou algumas cópias, e uma delas é uma espécie de evolução do SLocker, um malware conhecido há anos e que infecta dispositivos com Android.

Segundo a Trend Micro, o ransomware vem ganhando novos poderes desde que ressurgiu, em maio. Agora, ele tem características mais próximas ao WannaCry, como a criptografia dos arquivos de um smartphone e o uso da rede TOR para garantir o anonimato das comunicações dos aparelhos infectados.

A nova versão do SLocker foi encontrada dentro de um app feito para trapaças no jogo “King of Glory” chamado King of Glory Auxiliary.

Assim que o dispositivo é infectado com o malware, o SLocker vasculha o Android em busca de arquivos que tenham sido baixados da web e criptografa eles, deixando dados de funcionamento do sistema livres para que o Android continue rodando. Com os arquivos do usuário bloqueados, o malware exige um pagamento para liberar o acesso aos dados.

Mas não há motivo para pânico: a Trend Micro diz que ferramentas que inibem os efeitos do SLocker já foram publicadas, e aparelhos infectados pelo ransomware podem ser facilmente desbloqueados. Além disso, cinco dias após o ressurgimento do malware, uma pessoa foi presa na China apontada como responsável por ele, o que deve dificultar a disseminação do golpe.