titulo

titulo

A Blue Coat avistou uma nova campanha de ransomware servindo o malware Dogspectus. Os criminosos combinaram o Exploit Hacking Team e o exploit Towelroot. Especialistas de segurança da Blue Coat avistaram uma nova campanha espalhando o Ransomware de Android chamado Dogspectus. O código malicioso sequestra os anúncios de mobile para escanear cartões de presente, e então bloqueia o dispositivo em um estado que permite a vítima apenas a fazer pagamentos.

O código malicioso demanda o pagamento de uma taxa de 200 dólares, em cartões de presente do ITunes. Os especialistas da Blue Coat Labs avistaram pela primeira vez a ameaça após um tablet rodando CyanogenMod 10/ Android 4.2.2 visualizou um anúncio que silenciosamente serviu conteúdo malicioso sem qualquer interação do usuário.

O Exploit Kit usado pelos criminosos nessa campanha se baseiam em um exploit previamente vazado do Hacking Team (lbxslt), para servir (utilizar) um exploit de Android conhecido como Towelroot. A ferramenta foi lançada pelo hacker popular George Hotz em 2014, e é capaz de obter root dispositivos Android explorando uma falha de Linux conhecida (CVE-2014-3153). O ataque é muito sofisticado e representa uma evolução do clássico ataque de malvertising, como explicado por Andrew Brandt, da Blue Coat:

“Essa é a primeira vez, ao meu conhecimento, que um exploit kit têm sido capaz de instalar com sucesso aplicativos maliciosos em um dispositivo móvel sem qualquer interação do usuário, pela parte da vítima. Durante esse ataque, o dispositivo não exibiu a caixa de diálogo “Permissões de Aplicação”, que normalmente precede a instalação de uma aplicação Android. Após uma consulta com o analista Joshua Drake da Zimperium, ele foi capaz de confirmar que o JavaScript usado para iniciar o ataque contêm um exploit contra o libxslt que foi vazado durante o vazamento do Hacking Team. A ferramenta comercializada do Hacking Team e os exploits Towel para instalar malware em dispositivos móveis Android, com o uso de exploit kits automatizados possui algumas sérias consequências. A mais importante delas é que dispositivos mais antigos, que nunca foram atualizados (e que possivelmente não o serão), com a última versão do Android, podem permanecer susceptíveis a esse tipo de ataque perpetuamente”.

Os especialistas determinaram que ao menos 224 modelos de dispositivos únicos, que compreendem um intervalo de versões Android, da 4.0.3 e 4.4.4 (5.x ou 6.x não são impactadas) estão conectados com os servidores de comando e controle, desde 22 de Fevereiro. O problema é sério se nós considerarmos que 59.6 por cento dos dispositivos Android estão atualmente utilizando a versão 4.4 ou inferior.

As amostras analisadas pelos pesquisadores permitem a conexão do dispositivo infectado a um computador e copiar todos os arquivos, enquanto ainda desbloqueado tanto da memória interna e qualquer cartão de armazenamento adicional. Os especialistas ainda observaram que a remoção do sistema operacional por uma nova versão do Android não elimina o Dogspectus Ransomware, apenas uma um correção sim. De forma a limitar o efeito da infecção do ransomware é importante manter um backup atualizado de qualquer dado importante presente no dispositivo, informa o site securityaffairs.co.

fonte:

http://securityaffairs.co/wordpress/46693/malware/dogspectus-android-ransomware.html
http://i1.wp.com/securityaffairs.co/wordpress/wp-content/uploads/2016/04/Dogspectus-ransomware.jpg?w=583