Como desinstalar o ransomware Android da Cyber ​​Police

Uma exploração chamada “Polícia Cibernética” já existe há algum tempo, mas um novo método que está utilizando agora pode afetar milhões de dispositivos Android. Ele bloqueará seu dispositivo, tornando-o inútil, e poderá ser instalado em um dispositivo sem qualquer interação do usuário por parte da vítima.

Cyber ​​Police, uma forma de ransomware, foi descoberta recentemente por Laboratórios Blue Coat e confirmado pelo Zimperium Labs, o mesmo grupo que descobriu o Hack de StageFright.

O que é ransomware?

Ransomare é um software com código malicioso que pode bloquear um dispositivo ou computador para que não possa ser usado. Isso significa que você não poderá abrir nenhum aplicativo ou acessar as configurações do dispositivo. Geralmente aparece uma mensagem explicando que o dispositivo está bloqueado e que você precisa pagar um “resgate” para desbloqueá-lo e se livrar do software malicioso.

A boa notícia é que seus dados geralmente estão seguros, mas a má notícia é que pagar o resgate não removerá realmente o software.

O hack da Polícia Cibernética explicado

O nome Cyber ​​Police vem de como ele se representa quando está ativo no seu dispositivo. Você verá uma mensagem como a abaixo explicando que seu dispositivo foi bloqueado porque você supostamente navegou em sites ilegais no passado.

A mensagem afirma vir de algum tipo de agência, que pode ser chamada de “agência de segurança nacional americana” ou algo semelhante.

Esta “agência” lhe dará um certo tempo para pagar um “resgate” para que não tome medidas legais e, como bônus extra, a “agência” irá restaurar seu dispositivo. Neste exemplo, o “resgate” são dois códigos de vale-presente Apple iTunes de US$ 100. Parece bastante simples, mas você nunca esteve sob qualquer ameaça legal e pagar o resgate não desbloqueará seu dispositivo.

A parte assustadora desse exploit é que ele pode ser instalado no seu dispositivo a partir de um simples anúncio em uma página da Web, sem a necessidade de você realmente abri-lo. E não há como detectar esses anúncios maliciosos. Andrew Brandt, diretor de pesquisa de ameaças do Blue Coat Labs, disse: “Esta é a primeira vez, que eu saiba, que um kit de exploração foi capaz de instalar com sucesso aplicativos maliciosos em um dispositivo móvel sem qualquer interação do usuário por parte da vítima.” Como o exploit é na verdade um aplicativo, você pensaria que as permissões teriam que ser aprovadas, mas de alguma forma elas são ignorado.

Depois que o hack foi descoberto pela Blue Coat, Joshua Drake, dos laboratórios Zimperium, o analisou e descobriu que o aplicativo usa uma ferramenta raiz conhecida como Towelroot para assumir o controle do seu dispositivo. Ele também utiliza certas explorações que vazaram durante a violação da Hacking Team. O Equipe de hackers, com sede em Milão, Itália, vende recursos de vigilância para agências locais de fiscalização, governos e empresas privadas. A violação dos próprios dados da Hacking Team em julho de 2015 revelaram várias explorações que os hackers foram capazes de usar.

De acordo com a Blue Coat, o trojan Cyber ​​Police foi documentado pela primeira vez em dezembro de 2015, mas este método mais recente pode já existir desde fevereiro de 2016.

Dispositivos afetados

A boa notícia é que se você usar um Android dispositivo que não tem muito mais de um ano, provavelmente você está bem. Esta exploração só pode afetar as versões 4.0.3 a 4.4.4 do Android. Isso vai de Ice Cream Sandwich (2011) a KitKat (2013). Felizmente, a maioria dos telefones mais recentes já foram atualizados para o Lollipop (2014) ou superior. Contudo, de acordo com os últimos Painel Android (4 de abril de 2016), 56,9 por cento de todos Android os dispositivos se enquadram nesses números de versão. Isso significa mais de 500 milhões Android dispositivos são afetados em todo o mundo. Por causa da terrível taxa mais Android Se os telefones receberem atualizações, esses dispositivos provavelmente nunca mais serão atualizados, portanto, sempre estarão vulneráveis ​​à ameaça.

A Blue Coat encontrou a exploração em um tablet Samsung mais antigo rodando CyanogenMod 10, baseado no Android 4.2.2. Embora o CyanogenMod seja uma ROM personalizada, você não precisa ter uma instalada para que o aplicativo trojan assuma o controle do seu dispositivo.

Protegendo-se

Supondo que você tenha um dispositivo Android executando uma das versões de software afetadas, não há muito que você possa fazer para bloquear completamente um ataque. No entanto, existem algumas coisas que você pode fazer que podem limitar suas chances de ser vítima.

A primeira e mais óbvia coisa a fazer é comprar um dispositivo mais novo, já que seu telefone ou tablet atual provavelmente não será atualizado com um patch. Claro, isso pode não ser viável no momento, então você pode tentar evitar sites obscuros. Esses são os que têm maior probabilidade de apresentar o tipo de anúncio que pode instalar o aplicativo trojan no seu dispositivo. É improvável que esses anúncios apareçam em sites conhecidos como Google, CNN, Amazon, ESPN ou Digital Trends (não nos deixe!). Outra coisa que você pode tentar é instalar um aplicativo de navegador mais recente, como cromada, o que poderia impedir que anúncios maliciosos infectassem seu sistema.

Por último, não importa o que você faça, faça backup regularmente de todas as suas fotos, vídeos, músicas e outros arquivos importantes. Embora o ataque da Polícia Cibernética provavelmente não os exclua do seu dispositivo, você pode não ter acesso a eles enquanto a exploração estiver em vigor.

Removendo a exploração

Há alguma incerteza aqui, mas há pelo menos alguma esperança. A primeira coisa que você precisa saber é nunca pagar um resgate que algum programa de computador jogue em você, não importa o que aconteça. Você só perderá dinheiro porque seu dispositivo permanecerá inútil.

De acordo com Brandt, do Blue Coat Labs, ele conseguiu redefinir os padrões de fábrica do tablet Samsung para remover com sucesso o aplicativo trojan. Infelizmente, uma redefinição de fábrica resulta na exclusão de todos os dados do dispositivo. É uma dor, mas é a melhor opção. Se ainda não foi feito backup dos seus dados, você pode tentar conectar seu telefone ou tablet a um desktop ou laptop e ver se consegue copiar o conteúdo antes de iniciar uma redefinição de fábrica.

Como você não conseguirá acessar as configurações, será necessário iniciar uma redefinição de fábrica de maneira um pouco diferente. Cada dispositivo é um pouco diferente, mas tente isto em dispositivos Samsung:

1. Pressione e segure o Poder botão, Aumentar o volume botão e Lar tecla enquanto o dispositivo está desligado.
2. Assim que o logotipo da Samsung aparecer, solte apenas o Botão de energia.
3. A tela de recuperação do sistema Android aparecerá.
4. Use o Volume botões para destacar limpar dados / reinício fábrica.
5. aperte o Poder botão para selecionar a opção de redefinição de fábrica.

Alguns usuários indicaram que não conseguiram redefinir o dispositivo para os padrões de fábrica porque o aplicativo trojan os impediu de fazer isso. Você também pode estar em uma situação em que não possui um backup dos seus dados e não conseguiu acessá-los ao conectar seu dispositivo a um computador. Em qualquer um desses casos, você pode tentar reiniciar o dispositivo no modo de segurança. Ao fazer isso, você poderá abrir Configurações, seguido pelo Formulários, e Gerenciador de aplicativos para excluir o aplicativo trojan. Infelizmente, descobrir o aplicativo trojan não será fácil.

Veja como reiniciar seu dispositivo no modo de segurança:

1. Enquanto o dispositivo estiver ligado, pressione e segure o botão liga/desliga por alguns segundos até receber a solicitação para desligar o telefone.
2. Toque e segure o Desligar opção no visor por alguns segundos até receber a solicitação para confirmar que deseja reinicializar no modo de segurança.

Quando estiver no modo de segurança, abra o Gerente de aplicação e procure qualquer aplicativo sob o Baixado guia que você não reconhece e exclua-a. Infelizmente, isso provavelmente será mais difícil do que parece, mas vale a pena tentar. Quando estiver tudo pronto, basta desligar o telefone ou tablet normalmente e ligá-lo para reiniciá-lo em seu estado normal. Esperançosamente, o aplicativo trojan desaparecerá e seu telefone será desbloqueado. Você sempre pode repetir o processo e tentar novamente.

Se você não conseguir redefinir seu dispositivo para a configuração original ou excluir o aplicativo trojan, talvez seja hora de adquirir um novo.

Recomendações dos Editores

• Esses mais de 80 aplicativos podem estar executando adware no seu iPhone ou dispositivo Android