Simplocker ne posustaje: Nova taktika širenja malvera

Mobilni telefoni, 20.06.2014, 06:57 AM

Simplocker ne posustaje: Nova taktika širenja malvera

Uprkos tome što su stručnjaci ponudili rešenja za dešifrovanje fajlova na smart telefonima zaraženim malverom Simplocker, objašnjavajući njegov jednostavan pristup enkripciji time da je malver verovatno u fazi testiranja i da se na njemu još uvek radi, prvi kripto-ransomware za Android ne posustaje, pa je tako zabeležen porast broja infekcija.

Stručnjaci kompanija ESET i Kaspersky Lab kažu da je trenutno u opticaju nekoliko verzija malvera. Razlike među njima su sledeće: neke verzije koriste Tor .onion domen, dok druge koriste konvencionalni C&C server; različite verzije na različite načine dobijaju komandu za dešifrovanje, što ukazuje da je otkup za fajlove plaćan; različita su i obaveštenja koja se prikazuju korisniku; različite verzije malvera traže različite sume novca za dešifrovanje fajlova, kao i različite valute; neke verzije koriste fotografiju žrtve napravljenu uz pomoć kamere telefona; neke verzije uopšte nemaju funkcionalnost šifrovanja fajlova već funkcionišu kao ransomwarei koji zaključavaju ekran.

U ovom trenutku malver cilja pretežno na korisnike Androida u Rusiji i Ukrajini, i nema podataka da se otkup traži u nekoj drugoj valuti, ali bi taj trend mogao ubrzo da se promeni, jer je distribucija malvera u ostatku sveta u ovom trenutku dostigla 10%, kažu iz ESET-a.

Kada je reč o vektorima napada, Simplocker još uvek koristi taktike društvenog inženjeringa da bi prevario žrtve da preuzmu malver koji se predstavlja kao popularna igra (npr. Grand Theft Auto: San Andreas), pornografski sadržaj ili aplikacija za pregled pornografskih video snimaka.

Nova strategija sajber kriminalaca koji distribuiraju Simplocker a koju su uočili u ESET-u uključuje downloader Trojanca. Stručnjaci ove kompanije uočili su taktiku ubeđivanja potencijalne žrtve da preuzme malver maskiran u video plejer, do koga vodi eksterni link. Na ovaj način, downloader ima veće šanse da ga ne otkriju bezbednosni mehanizmi koji proveravaju aplikacije koje se objavljuju na Google Play. Osim toga, downloader praktično ne traži potencijalno štetne dozvole, pa čak i korisnik koji pažljivo proučava dozvole aplikacije prilikom instalacije može odobriti instalaciju downloadera.

To je moguće zahvaljujući tome što nema znakova zlonamernog ponašanja. Otvaranje linka izvan aplikacije je uobičajeno za mnoge aplikacije. Osim toga, link u aplikaciji koji su analizirali u ESET-u ne vodi direktno do Simplockera, već se Trojanac pojavljuje tek posle preusmeravanja sa servera koji je pod kontrolom napadača.

Downloader Trojanac koga ESET detektuje kao Android/TrojanDownloader.FakeApp se predstavlja kao legitimna aplikacija USSDDualWidget.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Trojanac Octo2, maskiran u Google Chrome ili NordVPN, krade lozinke i novac sa računa korisnika zaraženih Android telefona

Trojanac Octo2, maskiran u Google Chrome ili NordVPN, krade lozinke i novac sa računa korisnika zaraženih Android telefona

Istraživači Threat Fabrica su otkrili novu verziju malvera Octo, koja je do sada viđena u Italiji, Poljskoj, Moldaviji i Mađarskoj. Oni predviđaj... Dalje

Zbog zabrane američke vlade Google uklonio Kaspersky aplikacije sa Google Play, oglasio se Kaspersky

Zbog zabrane američke vlade Google uklonio Kaspersky aplikacije sa Google Play, oglasio se Kaspersky

Google je tokom vikenda uklonio Kaspersky aplikacije za Android iz Google Play prodavnice i ugasio nalog programera ruske kompanije. Korisnici su toko... Dalje

Lažne aplikacije na Google Play i Apple App Store: žrtve investiraju a onda ostaju bez ičega

Lažne aplikacije na Google Play i Apple App Store: žrtve investiraju a onda ostaju bez ičega

Analitičari kompanije Group-IB su upozorili na lažne platforme za trgovanje koje se pojavljuju u prodavnicama aplikacija. Ove aplikacije ne sadrže ... Dalje

Lažna aplikacija na Google Play krade kriptovalutu

Lažna aplikacija na Google Play krade kriptovalutu

Istraživači Check Point Research (CPR) tima su otkrili malver skriven u aplikaciji na Google Play. Ta aplikacija, WallConnect, imala je više od 10.... Dalje

Novi malver ugrožava korisnike mobilnog bankarstva

Novi malver ugrožava korisnike mobilnog bankarstva

Istraživači bezbednosti iz kompanije ThreatFabric otkrili su novu, naprednu varijantu malvera Octo, nazvanu „Octo2“, koja ozbiljno ugro... Dalje