Quando a Google e a Apple anunciaram que iam trabalhar em conjunto para criarem uma API que permitiria às aplicações seguirem os nossos contactos sociais, pareceu e foi algo em grande. No entanto, o que é muitas vezes criado para o bem, acaba por ser utilizado para o mal. Assim, muitos utilizadores mal intencionados já estão a aproveitar-se disto criando aplicações de ransomware que se fazem passar por aplicação desenvolvida para o COVID-19. É preciso mesmo cuidado com a instalação das apps Android.
Android: cuidado com as apps que lhe podem roubar tudo!
De facto, quando alguns governos anunciaram a criação de uma app para seguir contactos e perceber que pessoas estiveram em contacto com alguém que ficou infectado com COVID-19, um grupo de criminosos criou um ransomware chamado CryCryptor. Esta app para Android encripta os ficheiros mais importantes dos utilizadores e posteriormente dá instruções para o resgate dos mesmos.
Felizmente a equipa de desenvolvimento da ESET conseguiu descobrir este esquema. Apesar do CryCryptor não ser uma ameaça com muita prevalência, por enquanto, isto não significa que não virá a ser um grande problema.
Para que esta ameaça tenha sucesso os criminosos estão a aproveitar-se de uma coisa. A possibilidade de se instalar apps fora da Google Play Store.
Se não costuma fazer isto e se o seu smartphone nem permite instalar aplicações fora da loja oficial da Google, então está a salvo deste ransomware. No entanto, para quem até costuma instalar apps de fora, vamos explicar como tudo funciona.
Um utilizador começa por visitar um site que parece oficial e que tem um link para a Play Store para descarregar uma aplicação relativa ao COVID-19 e que permite acompanhar os contactos sociais.
O utilizar dá um clique na ligação. Depois, em vez de ir para a Play Store, o link aponta diretamente para um apk que é descarregado para o smartphone da vítima.
Se o dispositivo estiver configurado para correr apps fora da Play Store, então o processo de instalação é rápido e decorre sem qualquer alerta.
Depois quando a vítima correr a aplicação de acompanhamento de contactos, o ataque do ransomware começa.
De facto, o CryCryptor começa a encriptar todos os ficheiros importantes no smartphone. Em cada pasta que for encriptada aparece um novo ficheiro de texto chamado readme_now.txt. Nesse ficheiro estão as instrução que revelam como contactar os criminosos de modo a desencriptar os ficheiros.
Se a pessoa não pagar os dados estão perdidos para sempre. Ou estariam. É que este conhecido fabricante de soluções de antivírus, a ESET, criou uma ferramenta que permite desencriptar os ficheiros.
Pode encontrar mais informações sobre esta ferramenta aqui.
Seja como for esteja sempre atento ao que instala no seu equipamento.
