Simplocker ne posustaje: Nova taktika širenja malvera
Mobilni telefoni, 20.06.2014, 06:57 AM
Uprkos tome što su stručnjaci ponudili rešenja za dešifrovanje fajlova na smart telefonima zaraženim malverom Simplocker, objašnjavajući njegov jednostavan pristup enkripciji time da je malver verovatno u fazi testiranja i da se na njemu još uvek radi, prvi kripto-ransomware za Android ne posustaje, pa je tako zabeležen porast broja infekcija.
Stručnjaci kompanija ESET i Kaspersky Lab kažu da je trenutno u opticaju nekoliko verzija malvera. Razlike među njima su sledeće: neke verzije koriste Tor .onion domen, dok druge koriste konvencionalni C&C server; različite verzije na različite načine dobijaju komandu za dešifrovanje, što ukazuje da je otkup za fajlove plaćan; različita su i obaveštenja koja se prikazuju korisniku; različite verzije malvera traže različite sume novca za dešifrovanje fajlova, kao i različite valute; neke verzije koriste fotografiju žrtve napravljenu uz pomoć kamere telefona; neke verzije uopšte nemaju funkcionalnost šifrovanja fajlova već funkcionišu kao ransomwarei koji zaključavaju ekran.
U ovom trenutku malver cilja pretežno na korisnike Androida u Rusiji i Ukrajini, i nema podataka da se otkup traži u nekoj drugoj valuti, ali bi taj trend mogao ubrzo da se promeni, jer je distribucija malvera u ostatku sveta u ovom trenutku dostigla 10%, kažu iz ESET-a.
Kada je reč o vektorima napada, Simplocker još uvek koristi taktike društvenog inženjeringa da bi prevario žrtve da preuzmu malver koji se predstavlja kao popularna igra (npr. Grand Theft Auto: San Andreas), pornografski sadržaj ili aplikacija za pregled pornografskih video snimaka.
Nova strategija sajber kriminalaca koji distribuiraju Simplocker a koju su uočili u ESET-u uključuje downloader Trojanca. Stručnjaci ove kompanije uočili su taktiku ubeđivanja potencijalne žrtve da preuzme malver maskiran u video plejer, do koga vodi eksterni link. Na ovaj način, downloader ima veće šanse da ga ne otkriju bezbednosni mehanizmi koji proveravaju aplikacije koje se objavljuju na Google Play. Osim toga, downloader praktično ne traži potencijalno štetne dozvole, pa čak i korisnik koji pažljivo proučava dozvole aplikacije prilikom instalacije može odobriti instalaciju downloadera.
To je moguće zahvaljujući tome što nema znakova zlonamernog ponašanja. Otvaranje linka izvan aplikacije je uobičajeno za mnoge aplikacije. Osim toga, link u aplikaciji koji su analizirali u ESET-u ne vodi direktno do Simplockera, već se Trojanac pojavljuje tek posle preusmeravanja sa servera koji je pod kontrolom napadača.
Downloader Trojanac koga ESET detektuje kao Android/TrojanDownloader.FakeApp se predstavlja kao legitimna aplikacija USSDDualWidget.
Izdvojeno
Trojanac Octo2, maskiran u Google Chrome ili NordVPN, krade lozinke i novac sa računa korisnika zaraženih Android telefona
Istraživači Threat Fabrica su otkrili novu verziju malvera Octo, koja je do sada viđena u Italiji, Poljskoj, Moldaviji i Mađarskoj. Oni predviđaj... Dalje
Zbog zabrane američke vlade Google uklonio Kaspersky aplikacije sa Google Play, oglasio se Kaspersky
Google je tokom vikenda uklonio Kaspersky aplikacije za Android iz Google Play prodavnice i ugasio nalog programera ruske kompanije. Korisnici su toko... Dalje
Lažne aplikacije na Google Play i Apple App Store: žrtve investiraju a onda ostaju bez ičega
Analitičari kompanije Group-IB su upozorili na lažne platforme za trgovanje koje se pojavljuju u prodavnicama aplikacija. Ove aplikacije ne sadrže ... Dalje
Lažna aplikacija na Google Play krade kriptovalutu
Istraživači Check Point Research (CPR) tima su otkrili malver skriven u aplikaciji na Google Play. Ta aplikacija, WallConnect, imala je više od 10.... Dalje
Novi malver ugrožava korisnike mobilnog bankarstva
Istraživači bezbednosti iz kompanije ThreatFabric otkrili su novu, naprednu varijantu malvera Octo, nazvanu „Octo2“, koja ozbiljno ugro... Dalje
Pratite nas
Nagrade