Um aplicativo Android malicioso que ocupa a tela de dispositivos e extorque dinheiro dos usuários com notificações falsas de agências da lei, foi recentemente atualizado com um componente que permite que ele se espalhe através de mensagens spam de texto.

Conhecido como Koler, o Trojan tem estado no radar dos pesquisadores de malwares desde maio, quando começou a ser distribuído através de sites pornográficos, sob o pretexto de aplicativos legítimos. Uma nova variante da ameaça, encontrada recentemente por pesquisadores da empresa de segurança AdaptiveMobile, se espalha através de mensagens SMS que tentam enganar os usuários para abrir uma URL bit.ly encurtada.

Uma vez instalado em um dispositivo, Koler abre uma janela persistente que cobre a tela inteira e exibe uma mensagem falsa de agências policiais locais que acusam os usuários de visualização e armazenamento de pornografia infantil. As vítimas são indicadas a pagarem uma "multa" usando cartões de crédito, a fim de recuperar o controle de seus telefones.

O malware Koler é capaz de exibir mensagens randômicas baseando-se na localidade dos usuários de pelo menos 30 países, incluindo os EUA, onde a agência de aplicação da lei representada pelo FBI.

Usando sua lista de contatos para se disseminar

A nova versão encontrada pela AdaptiveMobile envia uma mensagem de texto para todos os contatos no catálogo de endereços da vítima. A mensagem diz: "alguém fez um perfil denominado - [nome do contato] - e ele enviou algumas de suas fotos! É você? ", seguido de uma URL bit.ly.

O link leva o usuário para um arquivo de pacote de aplicativos Android chamado IMG_7821.apk que está hospedado em uma conta Dropbox. Quando instalado, este aplicativo usa o nome PhotoViewer, mas na verdade é o programa de ransomware.

"Devido ao mecanismo de distribuição de SMS do Worm Koler, estamos vendo uma rápida disseminação de dispositivos infectados desde o dia 19 de outubro, o que acreditamos ser a data de disseminação original", Yicheng Zhou, analista de segurança da AdaptiveMobile, disse em um blog post. "Durante este curto período, temos detectado várias centenas de telefones que exibem sinais de infecção, através de múltiplas operadoras dos EUA. Além desta, outras operadoras de telefonia móvel em todo o mundo, principalmente no Oriente Médio, foram afetados por este malware".

Como proteger-se do Koler?

A melhor proteção contra ameaças de ransomware como o Koler é ter a opção "fontes desconhecidas" desativada no menu de configurações de segurança do seu Android. Quando essa configuração está desativada, e normalmente é, por padrão, os usuários não serão capazes de instalar aplicativos que não sejam obtidos a partir da loja oficial Google Play store.

Kohler não é fácil de desinstalar através do menu regular de gerenciamento de aplicações, devido à janela persistente que mantém exibindo o conteúdo, bloqueando toda a tela do seu smartphone, o que torna a navegação impossível. Usuários afetados devem primeiro reiniciar o dispositivo em modo de segurança e desinstalar o aplicativo, disse Zhou.

Instruções sobre como reiniciar o dispositivo em modo de segurança deve estar disponível no manual do telefone, mas geralmente envolve pressionar e segurar o botão de ligar/desligar até que o menu de energia apareça, em seguida, apertando e segurando a opção Desligar até que o item reiniciar em modo de segurança apareça na tela.

Não esqueça também de conferir as 10 dicas de segurança que o TudoCelular preparou para que os usuários do Android não corram esse risco de ter seus dispositivos infectados por aplicativos maliciosos.