Ostaci ransomwarea Cerber pronađeni u dve aplikacije u Google Play prodavnici

Mobilni telefoni, 03.03.2017, 00:30 AM

Ostaci ransomwarea Cerber pronađeni u dve aplikacije u Google Play prodavnici

Poruke o otkupnini ransomwarea Cerber pronađene su u izvornom kodu dve aplikacije koje se mogu preuzeti iz Googleove prodavnice Play.

Aplikacije koje je otkrio stručnjak kompanije ESET Lukas Stefanko su Accechiamoli i ForzaFo, i one su delo italijanskog programera koji ih je napravio za navijače italijanskog fudbalskog kluba.

Aplikacije nisu same po sebi infektivne. Ipak, one su se pojavile na skeneru kompanije ESET tokom rutinske provere.

"Naš skener je pokupio ostatke ransomwarea Cerber, što je u redu za Windows malvere, ali ovo je detektovano u Android aplikaciji i to je ono što je neobično i pomalo čudno", kaže Stefanko.

On je analizirao ove aplikacije pokušavajući da utvrdi šta je to što je ESET-ov skener detektovao kao ransomware Cerber. Srećom, u pitanju je bila samo poruka o otkupnini na koju je reagovao skener.

Reč je o fajlu README.hta, koji Cerber ostavlja na inficiranim računarima.

Dakle, pomenute dve aplikacije su bezbedne za Android uređaje jer Cerber funkcioniše samo na Windows računarima.

Ne samo to, već nema opasnosti ni za korisnike Windowsa, jer ovakve poruke ne inficiraju računare. HTA (HTML) fajlovi se koriste za širenje ransomwarea, ali ovi fajlovi nemaju kod za napad.

Ne samo oni, već i svi drugu fajlovi - poruke o otkupnini su bezopasne. Antivirusi ipak detektuju ove fajlove kao znak postojeće infekcije, čak i kad su ti fajlovi bezopasni.

Poruke o otkupnini prikazuju samo instrukcije za plaćanje i oporavak fajlova. Verzija Cerbera čije su poruke o otkupnini pronađene u Android aplikacijama bila je aktivna u periodu od septembra do decembra prošle godine.

Postoje dva objašnjenja za ovaj slučaj. Stefanko kaže da je moguće da je programer sam imao problema sa infekcijom ransomwareom Cerber. Cerber ostavlja poruke o otkupnini u svakom folderu u kome se nalaze fajlovi koje je šifrovao. Žrtve mogu ukloniti ove poruke aplikacijom RansomNoteCleaner, ali tek pošto plate otkupninu. Programer ovih aplikacija verovatno nije koristio ni ovi, niti neki drugi program, pa su zato poruke o otkupnini ostale na njegovom računaru, i to u folderu sa ikonama aplikacije.

Drugo objašnjenje je da je dizajner ikona aplikacija imao probleme sa Cerberom. S obzirom da je naziv fajla README, većina onih koji bi preuzeli ikone bi verovatno mislili da on sadrži informacije o licenci za paket ikona, i verovatno ne bi ni otvorili fajl pre nego što ga prekopiraju na novu lokaciju.

Programer aplikacija verovatno nije primetio da je prekopirao poruku o otkupnini sa slikama u folder Android aplikacije.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Ako imate stariji Android uređaj, možda više nećete moći da se prijavite na Google nalog

Ako imate stariji Android uređaj, možda više nećete moći da se prijavite na Google nalog

Ako još uvek imate uređaj sa Androidom 2.3.7 (Gingerbread) ili starijim, Google vam od 27. septembra neće dozvoliti da se prijavite na svoj Google... Dalje

Google Play Protect ponovo nije prošao antivirusne testove

Google Play Protect ponovo nije prošao antivirusne testove

Google Play Protect, sistem za odbranu od malvera ugrađen u Android, nije prošao testove laboratorije za testiranje antivirusnih programa AV-TEST je... Dalje

Google objavio krajnji rok za programere aplikacija na Google Play: evo kada ćemo videti koje podatke prikupljaju aplikacije i kako ih koriste

Google objavio krajnji rok za programere aplikacija na Google Play: evo kada ćemo videti koje podatke prikupljaju aplikacije i kako ih koriste

Google je objavio više detalja u vezi sa predstojećim „odeljkom o bezbednosti“ Google Play prodavnice koji će korisnicima pružati inf... Dalje

Poznati malver Joker ponovo u aplikacijama na Google Play

Poznati malver Joker ponovo u aplikacijama na Google Play

U Google Play prodavnici ponovo su otkrivene aplikacije koje skrivaju malver Joker. U utorak su istraživači iz Zscalerovog ThreatLabza objavili da s... Dalje

Malver Toddler prazni bankovne račune korisnika Android telefona

Malver Toddler prazni bankovne račune korisnika Android telefona

Novi malver za Android širi se po Evropi. Malver nazvan Toddler prvi put je primećen u januaru ove godine. Trojanac kojeg su otkrili istraživači i... Dalje