Ostaci ransomwarea Cerber pronađeni u dve aplikacije u Google Play prodavnici

Mobilni telefoni, 03.03.2017, 00:30 AM

Ostaci ransomwarea Cerber pronađeni u dve aplikacije u Google Play prodavnici

Poruke o otkupnini ransomwarea Cerber pronađene su u izvornom kodu dve aplikacije koje se mogu preuzeti iz Googleove prodavnice Play.

Aplikacije koje je otkrio stručnjak kompanije ESET Lukas Stefanko su Accechiamoli i ForzaFo, i one su delo italijanskog programera koji ih je napravio za navijače italijanskog fudbalskog kluba.

Aplikacije nisu same po sebi infektivne. Ipak, one su se pojavile na skeneru kompanije ESET tokom rutinske provere.

"Naš skener je pokupio ostatke ransomwarea Cerber, što je u redu za Windows malvere, ali ovo je detektovano u Android aplikaciji i to je ono što je neobično i pomalo čudno", kaže Stefanko.

On je analizirao ove aplikacije pokušavajući da utvrdi šta je to što je ESET-ov skener detektovao kao ransomware Cerber. Srećom, u pitanju je bila samo poruka o otkupnini na koju je reagovao skener.

Reč je o fajlu README.hta, koji Cerber ostavlja na inficiranim računarima.

Dakle, pomenute dve aplikacije su bezbedne za Android uređaje jer Cerber funkcioniše samo na Windows računarima.

Ne samo to, već nema opasnosti ni za korisnike Windowsa, jer ovakve poruke ne inficiraju računare. HTA (HTML) fajlovi se koriste za širenje ransomwarea, ali ovi fajlovi nemaju kod za napad.

Ne samo oni, već i svi drugu fajlovi - poruke o otkupnini su bezopasne. Antivirusi ipak detektuju ove fajlove kao znak postojeće infekcije, čak i kad su ti fajlovi bezopasni.

Poruke o otkupnini prikazuju samo instrukcije za plaćanje i oporavak fajlova. Verzija Cerbera čije su poruke o otkupnini pronađene u Android aplikacijama bila je aktivna u periodu od septembra do decembra prošle godine.

Postoje dva objašnjenja za ovaj slučaj. Stefanko kaže da je moguće da je programer sam imao problema sa infekcijom ransomwareom Cerber. Cerber ostavlja poruke o otkupnini u svakom folderu u kome se nalaze fajlovi koje je šifrovao. Žrtve mogu ukloniti ove poruke aplikacijom RansomNoteCleaner, ali tek pošto plate otkupninu. Programer ovih aplikacija verovatno nije koristio ni ovi, niti neki drugi program, pa su zato poruke o otkupnini ostale na njegovom računaru, i to u folderu sa ikonama aplikacije.

Drugo objašnjenje je da je dizajner ikona aplikacija imao probleme sa Cerberom. S obzirom da je naziv fajla README, većina onih koji bi preuzeli ikone bi verovatno mislili da on sadrži informacije o licenci za paket ikona, i verovatno ne bi ni otvorili fajl pre nego što ga prekopiraju na novu lokaciju.

Programer aplikacija verovatno nije primetio da je prekopirao poruku o otkupnini sa slikama u folder Android aplikacije.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

iPhone 11 Pro prikuplja podatke o lokaciji korisnika čak i kada korisnici to onemoguće

iPhone 11 Pro prikuplja podatke o lokaciji korisnika čak i kada korisnici to onemoguće

iPhone 11 Pro sa pojedinačno onemogućenim praćenjem lokacije za sve aplikacije i sistemske usluge ipak nastavlja da prikuplja informacije o lokac... Dalje

Zbog veza aplikacije sa Rusijom, Amerikanci pozvani da deinstaliraju FaceApp sa svojih uređaja

Zbog veza aplikacije sa Rusijom, Amerikanci pozvani da deinstaliraju FaceApp sa svojih uređaja

FaceApp, mobilna aplikacija koja omogućava korisnicima da prave selfije a od njih prave starije verzije sebe, smatra se „potencijalnom kontraob... Dalje

Android ima opasan bag koji već koriste na desetine malicioznih aplikacija da bi od korisnika ukrale novac i lozinke

Android ima opasan bag koji već koriste na desetine malicioznih aplikacija da bi od korisnika ukrale novac i lozinke

U operativnom sistemu Android otkrivena je nova opasna ranjivost koja omogućava malverima da se predstavljaju kao legitimne aplikacije tako da korisn... Dalje

Indija traži reviziju WhatsAppa zbog špijuniranja korisnika

Indija traži reviziju WhatsAppa zbog špijuniranja korisnika

Indijska vlada želi da izvrši reviziju sigurnosnih sistema WhatsAppa nakon otkrića da je špijunski softver Pegasus iskoristio ranjivosti platform... Dalje

Trojanac Ginp uz dozvolu korisnika postaje podrazumevana SMS aplikacija, a zatim krade poruke, lozinke i podatke o platnim karticama

Trojanac Ginp uz dozvolu korisnika postaje podrazumevana SMS aplikacija, a zatim krade poruke, lozinke i podatke o platnim karticama

Kada se pojavio u junu ove godine, bankarski trojanac za Android mobilne uređaje koji je nazvan Ginp, krao je SMS poruke, kako dolazne tako i odlazne... Dalje