Cyber.Police: Ransomware koji inficira Android uređaje bez interakcije korisnika

Mobilni telefoni, 27.04.2016, 01:00 AM

Cyber.Police: Ransomware koji inficira Android uređaje bez interakcije korisnika

Ransomwarei za mobilne uređaje nisu naročito rašireni kao oni koji ciljaju računare. Ipak, istraživači kompanije Blue Coat otkrili su jedan neobični mobilni ransomware koji se isporučuje pomoću exploit alata i koji ne zahteva bilo kakvu interakciju korisnika da bi inficirao uređaj.

Ransomware je nazvan Cyber.Police, a istraživači su ga nazvali Dogsuspectus. Za razliku od ransomwarea za računare Cyber.Police ne šifruje fajlove korisnika, već samo zaključava ekrane inficiranih Android uređaja.

Ransomware se predstavlja kao upozorenje nepostojeće “Američke nacionalne bezbednosne agencije” koja kažnjava korisnika računara zbog navodnih nelegalnih aktivnosti. Kriminalci traže od žrtve da kupi dve Apple iTunes poklon kartice u vrednosti od po 100 dolara i pošalje im kodove kartica. Apple može da prati iTunes poklon kartice, ali one u sajber podzemlju mogu biti korišćene kao virtuelna valuta tako da mogu proći i godine pre nego što budu iskorišćene.

Istraživači kažu da su mogli da povežu inficirani uređaj sa računarom i da kopiraju neizmenjene dokumente, fotografije i druge fajlove i sa interne memorije uređaja i sa SD kartice. Oni su uspeli da uklone malver kada su resetovali uređaj na fabrička podešavanja. To je jedini način da se Cyber.Police ukloni jer se instalira na uređaju kao obična aplikacija. Nadogradnja na noviju verziju Androida nije od pomoći jer taj proces ne utiče na aplikacije instalirane na uređaju.

Do infekcije Android uređaja dolazi kada korisnik poseti web sajt koji sadrži maliciozni JavaScript kod koji se isporučuje preko malicioznih reklama (malvertajzing).

Istraživači firme Zimperium potvrdili su da maliciozni kod sadrži exploit koji je procureo prošle godine kada je hakovana italijanska kompanija Hacking Team.

Analiza istraživača je otkrila i sledeće: exploit koristi ranjivost u libxslt Android biblioteci koja omogućava napadačima da preuzmu payload nazvan module.so koji sadrži kod za exploit “Towelroot” i koji omogućava dobijanje administratorskih privilegija na uređaju. Kada se obezbedi takav pristup uređaju, module.so preuzima dodatni Android APK koji sadrži kod ransomwarea. Sada napadači mogu krišom instalirati ransomware bez ikakvog učešća korisnika u tom procesu. Tokom napada, uređaj neće prikazivati kao što je to uobičajeno zahtev za davanje dozvola aplikacijama koji se obično prikazuje korisniku tokom instalacije bilo koje Android aplikacije.

Istraživači iz Blue Coat kažu da inficirani uređaji šalju nešifrovani saobraćaj centralnom serveru za komandu i kontrolu. Oni su pratili saobraćaj sa 224 Android uređaja, tableta i smart telefona, koji koriste verzije Androida od 4.0.3 do 4.4.4.

Korišćenje exploita Hacking Teama i Towelroot exploita za instalaciju malvera na Android uređajima uz pomoć automatizovanih exploit alata može imati ozbiljne konsekvence. “Najvažnija od njih je da ovi stariji uređaji koji nisu ažurirani niti će verovatno biti ažurirani najnovijom verzijom Androida, mogu u nedogled ostati podložni napadu”, kažu istraživači.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Google uklonio 28 VPN aplikacija sa Google Play koje su Android telefone krišom pretvarale u proksije

Google uklonio 28 VPN aplikacija sa Google Play koje su Android telefone krišom pretvarale u proksije

Istraživači iz kompanije HUMAN pronašli su na Google Play 28 VPN aplikacija koje pretvaraju Android uređaje u rezidencijalne proksije koji se vero... Dalje

WhatsApp će blokirati skrinšotove za slike profila

WhatsApp će blokirati skrinšotove za slike profila

WhatsApp je poslednjih godina uveo niz opcija da bi ojačao bezbednost platforme i korisnika. Tako na WhatsAppu možete da delite privatne fotografije... Dalje

Apple popravio dve nove ranjivosti iOS-a koje se koriste u napadima na iPhone uređaje

Apple popravio dve nove ranjivosti iOS-a koje se koriste u napadima na iPhone uređaje

Apple je ove nedelje objavio hitna bezbednosna ažuriranja kako bi popravio dve ranjivosti nultog dana iOS-a koje su korišćene u napadima na iPhone... Dalje

Signal uveo podršku za korisnička imena u aplikaciji

Signal uveo podršku za korisnička imena u aplikaciji

Signal je uveo podršku za korisnička imena tako da sada svako može dodati opcionalno korisničko ime koje će ih povezati sa drugima bez deljenja ... Dalje

Stručnjaci upozoravaju na dramatičan porast napada malvera na mobilne uređaje

Stručnjaci upozoravaju na dramatičan porast napada malvera na mobilne uređaje

Izveštaj kompanije Kaspersky predstavljen na Svetskom kongresu mobilnih tehnologija u Barseloni, otkrio je eskalaciju rizika sa kojima se korisnici m... Dalje