A nota de resgate do Cerber foi detetado em duas aplicações de Android

Investigadores de malware acabam de detetar a nota de resgate do Cerber no código de fonte de duas aplicações de Android. As aplicações Accechiamoli e ForzaFò, que incluem o famoso ficheiro README.hta, podem ser descarregadas diretamente da loja Google Play. Esta descoberta poderá parecer preocupante e assustadora e por isso os programadores do perigoso malware decidiram expandir o seu campo de alvos. Todavia, podemos revelar que não é um problema. Uma nova campanha maliciosa apontada aos dispositivos Android não foi lançada. Assim, o vírus ainda afeta somente utilizadores de Windows OS. Assim sendo, os fãs do Italian Foggia Calcio football club não devem estar preocupados em ser infetados por ransowmare.

A equipa de segurança do ESET procurou nestas duas aplicações carga útil do Cerber. No entanto, não encontraram nada suspeito o potencialmente perigoso nos dispositivos Android. O scanner apenas detetou o ficheiro README.hta: a nota de resgate do Cerber. De acordo com o perito em segurança móvel da ESET Lukas Stefanko, uma das razões pela qual este ficheiro acabou nestas aplicações foi o facto do programador Francesco Pio Recchia ter sido vítima do Cerber. Durante o ataque o vírus larga uma nota de resgate em cada ficheiro que contenha ficheiros encriptados. Assim, se o programador não procedeu à remoção destes ficheiros, poderá ter sido deixado no ícone de pasta da aplicação. Outra presunção sugere que o designer dos ícones usados nas aplicações Accechiamoli e ForzaFò poderá ter sofrido do Cerber. Assim, a nota de resgate poderá ter sido acidentalmente deixada na pasta dos ícones. Entretanto, o programador não a verificou e simplesmente copiou e colou-a. Assim a nota de resgate passou despercebida. Porém, são apenas suposições. Ainda é desconhecida a verdade sobre o que aconteceu realmente.

Não obstante, os ficheiros HTA poderão ser usados para propagar vírus encriptadores de ficheiros. Não é o caso. O ficheiro README.hta não é malicioso e não inclui o código de ataque. Programas de segurança identificam-no como malicioso, mas a verdade é que não pode causar qualquer dano ao dispositivo. Inclui apenas instruções sobre o que os hackers querem que as vítimas façam após o ataque ransomware. A nota de resgate inclui informação sobre a encriptação de dados e exige o pagamento do resgate de forma a obtê-los de volta. É pedido às vítimas que transfiram algumas Bitcoins através de um website especial de pagamento do Cerber que pode ser acedido usando somente o navegador Tor. Todavia, queremos relembrar que as vítimas do ransomware não devem seguir a ordem dos ciber-criminosos. Pagar o resgate não garante que obtêm de volta o acesso aos ficheiros.

Sobre o autor
Gabriel E. Hall
Gabriel E. Hall - Apaixonada investigadora de vírus

Gabriel E. Hall é um apaixonado investigador de malware que tem trabalhado para o semvirus.pt há quase uma década.

Contato do Gabriel E. Hall
Sobre a empresa Esolutions

Ler noutras linguagens
Ficheiros
Software
Compare