ΑρχικήsecurityRansomware μολύνει Android συσκευές χωρίς την αλληλεπίδραση του χρήστη

Ransomware μολύνει Android συσκευές χωρίς την αλληλεπίδραση του χρήστη

Ερευνητές ανακάλυψαν μια νέα malware καμπάνια για Android κινητά που δεν απαιτεί κανενός είδους αλληλεπίδραση με το χρήστη με σκοπό να μολύνει τις συσκευές με ransomware.

Η μόλυνση εμφανίζεται όταν οι χρήστες επισκέπτονται μια ιστοσελίδα που περιέχει αλλοιωμένο κώδικα JavaScript. Το Blue Coat Labs, λέει ο κακόβουλος κώδικας παραδίδεται μέσω κακόβουλων διαφημίσεων (malvertising).

Ερευνητές ασφαλείας από τη Zimperium έχουν επιβεβαιώσει ότι ο κακόβουλος κώδικας περιείχε ένα exploit που είχε διαρρεύσει πέρυσι στην Hacking Team παραβίαση δεδομένων.

Ransomware μολύνει Android συσκευές χωρίς την αλληλεπίδραση του χρήστη

Το exploit αξιοποιεί μια ευπάθεια στη libxslt βιβλιοθήκη του Android για να επιτρέψει στους χάκερ να κατεβάζουν ένα Linux ELF binary με το όνομα module.so στη συσκευή.

Αυτό το binary χρησιμοποιεί το Towelroot Android exploit (όνομα ενός rooting tookit) για να πάρει δικαιώματα root στη συσκευή. Μόλις εξασφαλίζεται η root πρόσβαση, το module.so θα κατεβάσει και ένα πρόσθετο Android APK, το οποίο περιέχει ransomware κώδικα.

Με την πρόσβαση root στο χέρι, ο εισβολέας μπορεί σιωπηλά να εγκαταστήσει το ransomware χωρίς ζητά από τον χρήστη τυχόν δικαιώματα.

Το όνομα αυτού του ransomware trojan είναι Cyber.Police και εντοπίστηκε για πρώτη φορά το Δεκέμβριο του 2014. Σε σύγκριση με το desktop-based ransomware που κρυπτογραφεί τα αρχεία, το Cyber.Police μόνο κλειδώνει την οθόνη του χρήστη και του ζητά να αγοράσει δύο iTunes κάρτες δώρων της Apple αξίας $100 η καθεμία.

ransomware-andr-2

Ακόμη και που η Apple καταγράφει τις iTunes κάρτες δώρων, αυτές μπορούν να χρησιμοποιηθούν ως εικονικό νόμισμα στην υπόγεια αγορά hacking και να περνάνε από χέρι σε χέρι για χρόνια από πολλά άτομα πριν χρησιμοποιηθούν.

Το Blue Coat Labs λέει ότι τα μολυσμένα θύματα έστειλαν μη κρυπτογραφημένη κυκλοφορία από τη συσκευή τους σε έναν κεντρικό command and control server. Η εταιρεία ήταν σε θέση να παρακολουθεί την επισκεψιμότητα που προέρχονται από 224 διαφορετικά Android μοντέλα συσκευών (tablets, smartphones), χρησιμοποιώντας τις εκδόσεις Android μεταξύ 4.0.3 και 4.4.4.

Η χαμηλότερη επίσημη υποστηριζόμενη έκδοση του Android είναι 4.4.4, που σημαίνει ότι οι επιτιθέμενοι στοχεύουν χρήστες οι οποίοι έχουν αποτύχει ή δεν μπορούν να αναβαθμίσουν τις συσκευές τους.

“Το γεγονός ότι ορισμένες από αυτές τις συσκευές είναι γνωστό ότι δεν είναι ευάλωτες ειδικά στο Hacking Team libxlst exploit, σημαίνει ότι διαφορετικά exploits μπορεί να έχουν χρησιμοποιηθεί για να μολύνουν μερικά από αυτά [άλλων] φορητών συσκευών”, σημειώνει ο Andrew Brandt της Blue Coat.

Σε περίπτωση, λοιπόν, που μολυνθείτε και εσείς με το Cyber.Police Android ransomware, η Blue Coat λέει ότι θα έχει καταφέρει να αφαιρέσει το κακόβουλο λογισμικό μετά την επαναφορά της συσκευής στις εργοστασιακές της ρυθμίσεις.

ransomware-andr-1

Πριν πραγματοποιήσουν μια επαναφορά εργοστασιακών ρυθμίσεων, οι χρήστες θα πρέπει να συνδέσετε τη συσκευή με τον υπολογιστή τους και να αντιγράψουν τα προσωπικά δεδομένα τους στον υπολογιστή.

Η αναβάθμιση σε μια νεότερη έκδοση του Android δεν βοηθάει, γιατί το Cyber.Police εγκαταστάθηκε ως κανονική εφαρμογή και οι ενημερώσεις του Android κρατούν τις εφαρμογές ανέπαφες, κατά την αναβάθμιση.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS