aktualności

Lockerpin - kolejny ransomware dla Androida

8 11 września 2015, 14:13 Adam Szymański

Niedawno informowaliśmy o Adult Playerze, który jest ciekawym ransomwarem dla Androida. Tego typu szkodniki są jednymi z najgroźniejszych rodzajów złośliwego oprogramowania, ponieważ po zainfekowaniu danego urządzenia szyfrują znajdujące się na nim pliki i żądają okupu w zamian za klucz deszyfrujący. Teraz dowiedzieliśmy się o kolejnym tego typu zagrożeniu, które nieco różni się od poprzedników, ponieważ blokuje cały telefon za pomocą kodu PIN.

Chodzi o aplikację oznaczaną jako Android/Lockerpin, która została odkryta przez firmę ESET. Według niej, nowy szkodnik to pierwsze tego typu oprogramowanie, które wykorzystuje systemową blokadę ekranu za pomocą kodu PIN. Dotychczasowe ransomware'y nie były aż tak zuchwałe, ponieważ używały w tym celu własnej pętli, zazwyczaj wyświetlającej żądanie okupu. To była również ich najsłabsza strona, gdyż dzięki temu dało się ich pozbyć przy pomocy funkcji Android Debug Bridge. W przypadku Lockerpina sprawa nie jest już tak prosta, chociaż istnieje sposób na usunięcie tego szkodnika.

Według danych firmy ESET, nowe oprogramowanie dotychczas zainfekowało głównie urządzenia z USA, chociaż zaczyna rozprzestrzeniać się również w Europie. Do tego celu wykorzystuje sieć P2P i strony typu Warez. Na szczęście nie przenikła do oficjalnego sklepu Play. A Na czym dokładnie polega atak? Lockerpin początkowo stara się uzyskać uprawnienia administratora, do czego stosuje podstęp polegający na ukryciu zapytania pod komunikatem o nowej aktualizacji systemu. Jeżeli użytkownik na nią pozwoli, program otrzyma dostęp do wcześniej niedostępnych funkcji, co wykorzysta do zablokowania telefonu. Oczywiście celem ataku jest nakłonienie ofiary do zapłacenia 500 dolarów okupu za otrzymanie kodu PIN odblokowującego smartfona. Dodatkowo przestępcy podszywają się pod FBI, które rzekomo uniemożliwiło dostęp do urządzenia z powodu obecności na nim zabronionych treści pornograficznych.

Wspomniany kod PIN jest dobierany losowo i nie zostaje przesłany na serwer przestępców, więc Lockerpina nie można powstrzymać poprzez jego przejęcie. Mimo to firma ESET twierdzi, że szkodnika da się usunąć poprzez ADB i przywrócenie ustawień fabrycznych. Ponadto osoby, które zrootowały swój telefon mogą z poziomu funkcji Android Debug Bridge usunąć pliki Lockerpina bez utraty własnych danych. Warto dodać, że nie zadziała tu zwykłe cofnięcie uprawnień administratora, ponieważ szkodnik potrafi sam je przywrócić. Ponadto blokuje on niektóre antywirusy.

Adult player - mobilny ransomware

Źródło: ESET
mako_Zobacz profil
Poziom ostrzeżenia: 0%
mako_2015.09.11, 15:02
11#1
No i wraca stara prawda, że niektórych ludzi myślenie boli.
A wystarczyło by się zastanowić najpierw zanim się ściągnie program z jakiejś nieznanej strony.
sdgsd4s5d4Zobacz profil
Poziom ostrzeżenia: 0%
sdgsd4s5d42015.09.11, 15:54
-5#2

A wystarczyło by się zastanowić najpierw zanim się ściągnie program z jakiejś nieznanej strony

problemem tutaj akurat nie jest ściąganie programów z nieznanych stron, tylko to, że wielu użytkowników ma wywalone, na to co poszczególne programy/procesy robią w tle...
szefonsZobacz profil
Poziom ostrzeżenia: 0%
szefons2015.09.11, 16:09
No cóż nie trzeba pobierać z p2p czy warez jak się jest debilem.

Pod linkiem jest opis, wynika, że to po prostu ludzie sami sobie to aktywują tylko, że soft wyświetla podłożone okno.
ArtKraKZobacz profil
Poziom ostrzeżenia: 0%
ArtKraK2015.09.11, 16:41
-1#4
[quote name='szefons' date='2015.09.11 16:09' post='905786']No cóż nie trzeba pobierać z p2p czy warez jak się jest debilem.
[quote]

Od kilku dni nie trzeba już nic instalować samemu bo ujawniono kod źródłowy ataku o nazwie Stagefright. Jeżeli ktoś z tego rozwiązania skorzysta to może przejąć twój telefon wysyłając do ciebie MMS lub gdy wejdziesz na zainfekowaną stronę www. Nic nie musisz robić bo atak jest calkowicie automatyczny. Twórca takiej strony www może ci zainstalować dowolny program w telefonie bez twojej wiedzy. Google od kilku dni prawie codziennie wydaje kolejne poprawki bezpieczeństwa na nexusy. Inni producenci też w najbliższych dniach maja zaktualizować swoje telefony. Jeżeli masz Nexusa to ściągnij sobie obie aktualizacje
CamisZobacz profil
Poziom ostrzeżenia: 0%
Camis2015.09.11, 20:27
'Skompilowalem' sobie ten exploit Stagefright na VPS, utworzył się plik .mp4. Wgrałem go na Virus Total wczoraj i jak do tej pory dopiero 1 silnik go wykrywa... Licho:

http://virustotal.com/pl/file/13866d5a4f6c...sis/1441995690/
Niestety sprawdziłem na jednym smartfonie z 4.4.2 i chodzi... Uzyskujemy dostęp do powłoki, do tego można zdalnie podnieść uprawnienia do root...
BlasterjaxxZobacz profil
Poziom ostrzeżenia: 0%
Blasterjaxx2015.09.12, 10:16
hard reset i po problemie ;)
ggg7Zobacz profil
Poziom ostrzeżenia: 0%
ggg72015.09.14, 22:46
I wychodzi kolejny raz dziadowska architektura Androida - gdyby każde odwołanie do systemu, GPS, danych, kontaktów itd. były jawnie sygnalizowane z możliwością zablokowania, to wiele infekcji by nie przeszło
ggg7Zobacz profil
Poziom ostrzeżenia: 0%
ggg72015.09.14, 22:59
I wychodzi kolejny raz dziadowska architektura Androida - gdyby każde odwołanie do systemu, GPS, danych, kontaktów itd. były jawnie sygnalizowane z możliwością zablokowania, to wiele infekcji by nie przeszło
Zaloguj się, by móc komentować
1