Kilka tygodni temu, Google Play. Ten incydent pokazuje, jak wielkim zagrożeniem dla firmy może być szkodliwe oprogramowanie.


„Charger”, bo tak nazwany został nowy typ ransomware, został osadzony w aplikacji o nazwie EnergyRescue. Zrażona aplikacja kradnie kontakty oraz SMS-y z zaatakowanego urządzenia oraz prosi o przyznanie uprawnień administratorskich. Jeśli prośba zostanie zaakceptowana przez użytkownika, ransomware blokuje urządzenie i wyświetla komunikat z żądaniem zapłaty.

You need to pay for us, otherwise we will sell portion of your personal information on black market every 30 minutes. WE GIVE 100% GUARANTEE THAT ALL FILES WILL RESTORE AFTER WE RECEIVE PAYMENT. WE WILL UNLOCK THE MOBILE DEVICE AND DELETE ALL YOUR DATA FROM OUR SERVER! TURNING OFF YOUR PHONE IS MEANINGLESS, ALL YOUR DATA IS ALREADY STORED ON OUR SERVERS! WE STILL CAN SELLING IT FOR SPAM, FAKE, BANK CRIME etc… We collect and download all of your personal data. All information about your social networks, Bank accounts, Credit Cards. We collect all data about your friends and family.

Charger – Komunikat żądania okupu za odszyfrowanie urządzenia

Ransomware żąda opłaty wysokości 0,2 Bitcoinów (około 750zł), która jest zdecydowanie wyższa niż dotychczasowe żądania okupu w przypadku mobilnego ransomware – dla porównania, ransomware DataLust oczekiwał opłaty w wysokości 15$ (ok. 60zł). Opłaty miały zostać przekazywane na specjalne konto Bitcoin, jednak firma Check Point, jak do tej pory, nie odnotowała żadnych opłat.

O ile najczęstszy malware – Adware – powszechnie spotykany w sklepie Play zbiera zyski ze zwykle niegroźnych sieci reklamowych, o tyle ransomware może zadawać bezpośrednie szkody użytkownikom i przedsiębiorstwom. Podobnie jak FakeDefender i DataLust, Charger może być wskaźnikiem coraz większego wysiłku programistów mobilnych, w celu dogonienia swoich odpowiedników tworzących ransomware na komputery osobiste.

Podobnie do innych typów malware odnotowanych w przeszłości, Charger sprawdza lokalne ustawienia urządzenia i nie uruchamia się w przypadku urządzeń zlokalizowanych w Ukrainie, Rosji czy Białorusi.

Większość malware znalezionego w Google Play, zawiera jedynie dropper, który ściąga właściwy malware na urządzenie. Jednak Charger wykorzystuje kilka zaawansowanych technik, pozwalających ukryć swoje prawdziwe oblicze i sprawiających, że jest trudny do wykrycia. M.in. ciągi znaków tekstowych kodowane są binarnie, co powoduje, że są trudniejsze w analizie, natomiast kod ładowany jest dynamicznie z zaszyfrowanych zasobów, których większość silników detekcji nie może skontrolować. Dynamicznie ładowany kod zalewany jest również bezsensownymi komendami, które maskują rzeczywiste polecenia. Co ciekawe, Charger sprawdza również czy jest uruchomiony w emulatorze zanim rozpocznie swoją szkodliwą działalność.

Dział analiz i reagowania w firmie Check Point przedstawił swoje ustalenia zespołowi ds. bezpieczeństwa Androida, który podjął odpowiednie kroki bezpieczeństwa, by usunąć zainfekowaną aplikację i dodać ten tym malware do wbudowanego systemu ochrony Androida.

źródło: Check Point

Kan