Cyber.Police: Ransomware koji inficira Android uređaje bez interakcije korisnika

Mobilni telefoni, 27.04.2016, 01:00 AM

Cyber.Police: Ransomware koji inficira Android uređaje bez interakcije korisnika

Ransomwarei za mobilne uređaje nisu naročito rašireni kao oni koji ciljaju računare. Ipak, istraživači kompanije Blue Coat otkrili su jedan neobični mobilni ransomware koji se isporučuje pomoću exploit alata i koji ne zahteva bilo kakvu interakciju korisnika da bi inficirao uređaj.

Ransomware je nazvan Cyber.Police, a istraživači su ga nazvali Dogsuspectus. Za razliku od ransomwarea za računare Cyber.Police ne šifruje fajlove korisnika, već samo zaključava ekrane inficiranih Android uređaja.

Ransomware se predstavlja kao upozorenje nepostojeće “Američke nacionalne bezbednosne agencije” koja kažnjava korisnika računara zbog navodnih nelegalnih aktivnosti. Kriminalci traže od žrtve da kupi dve Apple iTunes poklon kartice u vrednosti od po 100 dolara i pošalje im kodove kartica. Apple može da prati iTunes poklon kartice, ali one u sajber podzemlju mogu biti korišćene kao virtuelna valuta tako da mogu proći i godine pre nego što budu iskorišćene.

Istraživači kažu da su mogli da povežu inficirani uređaj sa računarom i da kopiraju neizmenjene dokumente, fotografije i druge fajlove i sa interne memorije uređaja i sa SD kartice. Oni su uspeli da uklone malver kada su resetovali uređaj na fabrička podešavanja. To je jedini način da se Cyber.Police ukloni jer se instalira na uređaju kao obična aplikacija. Nadogradnja na noviju verziju Androida nije od pomoći jer taj proces ne utiče na aplikacije instalirane na uređaju.

Do infekcije Android uređaja dolazi kada korisnik poseti web sajt koji sadrži maliciozni JavaScript kod koji se isporučuje preko malicioznih reklama (malvertajzing).

Istraživači firme Zimperium potvrdili su da maliciozni kod sadrži exploit koji je procureo prošle godine kada je hakovana italijanska kompanija Hacking Team.

Analiza istraživača je otkrila i sledeće: exploit koristi ranjivost u libxslt Android biblioteci koja omogućava napadačima da preuzmu payload nazvan module.so koji sadrži kod za exploit “Towelroot” i koji omogućava dobijanje administratorskih privilegija na uređaju. Kada se obezbedi takav pristup uređaju, module.so preuzima dodatni Android APK koji sadrži kod ransomwarea. Sada napadači mogu krišom instalirati ransomware bez ikakvog učešća korisnika u tom procesu. Tokom napada, uređaj neće prikazivati kao što je to uobičajeno zahtev za davanje dozvola aplikacijama koji se obično prikazuje korisniku tokom instalacije bilo koje Android aplikacije.

Istraživači iz Blue Coat kažu da inficirani uređaji šalju nešifrovani saobraćaj centralnom serveru za komandu i kontrolu. Oni su pratili saobraćaj sa 224 Android uređaja, tableta i smart telefona, koji koriste verzije Androida od 4.0.3 do 4.4.4.

Korišćenje exploita Hacking Teama i Towelroot exploita za instalaciju malvera na Android uređajima uz pomoć automatizovanih exploit alata može imati ozbiljne konsekvence. “Najvažnija od njih je da ovi stariji uređaji koji nisu ažurirani niti će verovatno biti ažurirani najnovijom verzijom Androida, mogu u nedogled ostati podložni napadu”, kažu istraživači.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Android malver FakeSpy se ponovo širi preko SMS poruka koje sadrže linkove

Android malver FakeSpy se ponovo širi preko SMS poruka koje sadrže linkove

Moćni Android malver FakeSpy se vratio. Malver koji može da ukrade podatke o bankovnom računu, lične podatke, privatnu komunikaciju korisnika i jo... Dalje

Google iz Play prodavnice uklonio 25 Android aplikacija koje su krale lozinke za Facebook naloge korisnika

Google iz Play prodavnice uklonio 25 Android aplikacija koje su krale lozinke za Facebook naloge korisnika

Google je uklonio 25 Android aplikacija iz Google Play prodavnice koje su uhvaćene u krađi korisničkih imena i lozinki za prijavu na Facebook nalo... Dalje

TikTok ponovo obećao da neće špijunirati korisnike iOS

TikTok ponovo obećao da neće špijunirati korisnike iOS

TikTok kaže da će prestati da pristupa sadržaju clipboarda na iOS uređajima, nakon što je nova funkcija iOS 14 otkrila da je popularna aplikacij... Dalje

Novi Android ransomware predstavlja se kao aplikacija za praćenje COVID-19

Novi Android ransomware predstavlja se kao aplikacija za praćenje COVID-19

Istraživači iz kompanije ESET upozorili su ove nedelje na ransomware koji se pojavio samo nekoliko dana nakon što je Health Canada najavio aplikaci... Dalje

Šta se dešava sa vašim online nalozima kada mobilni operater proda vaš stari broj

Šta se dešava sa vašim online nalozima kada mobilni operater proda vaš stari broj

“Hvala prijatelju, šaljem veliki zagrljaj” - ovako je glasila poruka na španskom koju je novinar Motherboarda Džozef Koks dobio na What... Dalje