Cyber.Police: Ransomware koji inficira Android uređaje bez interakcije korisnika

Mobilni telefoni, 27.04.2016, 01:00 AM

Cyber.Police: Ransomware koji inficira Android uređaje bez interakcije korisnika

Ransomwarei za mobilne uređaje nisu naročito rašireni kao oni koji ciljaju računare. Ipak, istraživači kompanije Blue Coat otkrili su jedan neobični mobilni ransomware koji se isporučuje pomoću exploit alata i koji ne zahteva bilo kakvu interakciju korisnika da bi inficirao uređaj.

Ransomware je nazvan Cyber.Police, a istraživači su ga nazvali Dogsuspectus. Za razliku od ransomwarea za računare Cyber.Police ne šifruje fajlove korisnika, već samo zaključava ekrane inficiranih Android uređaja.

Ransomware se predstavlja kao upozorenje nepostojeće “Američke nacionalne bezbednosne agencije” koja kažnjava korisnika računara zbog navodnih nelegalnih aktivnosti. Kriminalci traže od žrtve da kupi dve Apple iTunes poklon kartice u vrednosti od po 100 dolara i pošalje im kodove kartica. Apple može da prati iTunes poklon kartice, ali one u sajber podzemlju mogu biti korišćene kao virtuelna valuta tako da mogu proći i godine pre nego što budu iskorišćene.

Istraživači kažu da su mogli da povežu inficirani uređaj sa računarom i da kopiraju neizmenjene dokumente, fotografije i druge fajlove i sa interne memorije uređaja i sa SD kartice. Oni su uspeli da uklone malver kada su resetovali uređaj na fabrička podešavanja. To je jedini način da se Cyber.Police ukloni jer se instalira na uređaju kao obična aplikacija. Nadogradnja na noviju verziju Androida nije od pomoći jer taj proces ne utiče na aplikacije instalirane na uređaju.

Do infekcije Android uređaja dolazi kada korisnik poseti web sajt koji sadrži maliciozni JavaScript kod koji se isporučuje preko malicioznih reklama (malvertajzing).

Istraživači firme Zimperium potvrdili su da maliciozni kod sadrži exploit koji je procureo prošle godine kada je hakovana italijanska kompanija Hacking Team.

Analiza istraživača je otkrila i sledeće: exploit koristi ranjivost u libxslt Android biblioteci koja omogućava napadačima da preuzmu payload nazvan module.so koji sadrži kod za exploit “Towelroot” i koji omogućava dobijanje administratorskih privilegija na uređaju. Kada se obezbedi takav pristup uređaju, module.so preuzima dodatni Android APK koji sadrži kod ransomwarea. Sada napadači mogu krišom instalirati ransomware bez ikakvog učešća korisnika u tom procesu. Tokom napada, uređaj neće prikazivati kao što je to uobičajeno zahtev za davanje dozvola aplikacijama koji se obično prikazuje korisniku tokom instalacije bilo koje Android aplikacije.

Istraživači iz Blue Coat kažu da inficirani uređaji šalju nešifrovani saobraćaj centralnom serveru za komandu i kontrolu. Oni su pratili saobraćaj sa 224 Android uređaja, tableta i smart telefona, koji koriste verzije Androida od 4.0.3 do 4.4.4.

Korišćenje exploita Hacking Teama i Towelroot exploita za instalaciju malvera na Android uređajima uz pomoć automatizovanih exploit alata može imati ozbiljne konsekvence. “Najvažnija od njih je da ovi stariji uređaji koji nisu ažurirani niti će verovatno biti ažurirani najnovijom verzijom Androida, mogu u nedogled ostati podložni napadu”, kažu istraživači.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Huawei telefoni ostaju bez Androida i Googleovih aplikacija

Huawei telefoni ostaju bez Androida i Googleovih aplikacija

Google je prisiljen da odmah prekine poslovanje sa kompanijom Huawei, što će imati dramatičan uticaj na korisnike Huawei uređaja širom sveta. "Ki... Dalje

Bag u WhatsAppu korišćen za instalaciju špijunskog softvera na iPhone i Android uređajima

Bag u WhatsAppu korišćen za instalaciju špijunskog softvera na iPhone i Android uređajima

WhatsApp je ispravio sigurnosnu grešku (CVE-2019-3568) u aplikaciji koja omogućava instalaciju špijunskog softvera na Android i iPhone uređajima. ... Dalje

Google Play će vam predlagati da deinstalirate aplikacije koje ne koristite

Google Play će vam predlagati da deinstalirate aplikacije koje ne koristite

Većina nas ima gomilu aplikacija na svojim pametnim telefonima, ali činjenica je da svakodnevno koristimo samo nekoliko aplikacija, dok ostale koris... Dalje

Apple se brani od optužbi: Uklonili smo aplikacije za roditeljsku kontrolu iz sigurnosnih razloga

Apple se brani od optužbi: Uklonili smo aplikacije za roditeljsku kontrolu iz sigurnosnih razloga

Apple tvrdi da je razlog za njegovu kontroverznu odluku da povuče konkurentske aplikacije za roditeljsku kontrolu iz App Storea zaštita privatnosti ... Dalje

Android aplikacija WiFi Finder otkrila lozinke kućnih WiFi mreža korisnika

Android aplikacija WiFi Finder otkrila lozinke kućnih WiFi mreža korisnika

Hiljade korisnika aplikacije WiFi Finder, čija je svrha da pronađe i obezbedi lozinke za javne Wi-Fi pristupne tačke, nenamerno su poslali sopstven... Dalje