A empresa de segurança Trend Micro encontrou um ransomware de bloqueio de tela que pode afetar dispositivos Android e Smart TVs. Apelidado de FLocker, ele surgiu pela primeira vez em maio de 2015 e, de lá pra cá, já ganhou mais de 7 mil variantes.

Para evitar ser descoberto, o FLocker esconde seu código em arquivos de dados brutos dentro da pasta “ativos”. O arquivo, nomeado ‘form.html’, se parece com um arquivo comum. Assim, nenhum comportamento mal-intencionado é identificado.

A versão mais recente é um trojan que se passa pela Polícia Cibernética dos Estados Unidos e acusa o usuário de crimes que ele não cometeu. Os criminosos cobram uma “multa” de US$ 200, que deve ser paga em cartões de presente do iTunes.

Reprodução

Como ele age?

Ao ser executado pela primeira vez, o malware verifica a localização do dispositivo infectado. Se o usuário estiver no Cazaquistão, Azerbaijão, Bulgária, Geórgia, Hungria, Ucrânia, Rússia, Armênia e Belarus, ele se desativa. Caso contrário, em cerca de 30 minutos, o programa bloqueia o computador, solicitando o acesso de administrador. Se o usuário negar, a tela é congelada com uma falsa atualização de sistema.

O FLocker é executado em segundo plano e se conecta a um servidor de comando e controle (C&C) para receber comandos. O C&C então fornece arquivos que conseguem tirar fotos do usuário e usá-las para pedir o resgate do dispositivo. Enquanto a tela está bloqueada, o servidor coleta informações do dispositivo, número de telefone, contatos e localização do usuário em tempo real.

O que fazer?
Antes de qualquer coisa, é preciso ficar atento aos links e mensagens de remetentes desconhecidos. O FLocker geralmente atinge os usuários via SMS ou links maliciosos. Evite abrir endereços e e-mails suspeitos.

Caso uma TV Android seja infectada, o usuário deve entrar em contato com o fornecedor para buscar soluções viáveis. É possível contornar o problema também ativando a depuração ADB. Para isso, é preciso conectar o dispositivo a um PC, iniciar o shell ADB e executar o comando “PM clear %pkg%”. Isso mata o processo do ransomware e desbloqueia a tela.

Os usuários podem, em seguida, desativar o privilégio de administração que foi concedido à aplicação e desinstalar o aplicativo do dispositivo.