Android-устройствам грозит мобильный вымогатель
Эксперты по кибербезопасности обнаружили новую угрозу для Android-устройств.
Специалисты компании ESET предупреждают, что под видом легитимных приложений на мобильные гаджеты может попасть мобильный вымогатель Android/Locker.B. Он меняет PIN-код экрана блокировки.
Как уточнили в компании, вредоносное ПО распространяется через форумы (их специально создают злоумышленники), а также файлообменники. Android/Locker.B маскируется под несколько программ: для работы с камерой в WhatsApp, антивирус для Android, мобильное приложение Dropbox, либо Flash Player.
После того, как приложение попадает на смартфон или планшет, оно запрашивает права администратора устройства. А далее блокирует доступ к операционной системе и меняет PIN-код экрана блокировки. После этого вымогатель выводит на экран требование выкупа — обычно это 25 или 50 долларов, либо евро.
Эксперты выяснили любопытную деталь: злоумышленники принимают выкуп подарочными картами iTunes. Для этого они предоставляют жертвам подробную инструкцию по их покупке и использованию.
Пока Android/Locker.B атаковал в основном пользователей из стран Латинской Америки. Однако, как говорят эксперты, злоумышленникам не составит труда переориентировать угрозу и на другие регионы.
Как защититься от вымогателя? Правила просты: загружать программы только из Google Play, проверять отзывы пользователей и рейтинг приложения. Вредоносные программы, попавшие в магазин, не успевают набрать много скачиваний.
Также эксперты рекомендуют отключить возможность установки приложений из неизвестных источников, обращать внимание на запросы прав администратора устройства или активации службы специальных возможностей и, конечно же, использовать надежное антивирусное ПО.
Что такое android.locker.179 и как его можно удалить.
Вирус, получивший название Android/Simplocker, после установки на смартфон сканирует содержимое вставленной в него SD-карты и шифрует все найденные видео, изображения и документы. При этом пользователю выводится сообщение на русском языке с требованием заплатить деньги за разблокировку. Как уточняет блог Naked Security, предупреждений два — отдельно для россиян и украинцев.
Эльза ЕгороваМастер (1025) 3 года назад
А как удалить?
_НЕТУЖАЛЬ_Высший разум (428245) 3 года назад
_НЕТУЖАЛЬ_Высший разум (428245) 3 года назад
Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
_НЕТУЖАЛЬ_Высший разум (428245) 3 года назад
загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
выключите устройство и включите его в обычном режиме.
Вымогатель Android/Lockerpin.A атакует пользователей США
Недавно наши аналитики зафиксировали очередной всплеск активности злоумышленников, которые распространяли одну из модификаций вымогателя для Android. Ранее мы уже наблюдали семейства вымогателей, которые также совмещали в себе функции фальшивого антивируса (Fake AV) и могли блокировать экран устройства пользователя (напр., Android Defender). В прошлом году мы также писали о вымогателе Simplocker, представляющем из себя первую вредоносную программу – вымогатель для Android, которая содержала в себе возможности по шифрованию файлов.
В предыдущих версиях вымогателя для Android типа LockScreen, механизм блокировки экрана обычно реализовывался методом постоянной прорисовки окна вымогателя на переднем плане, причем такая операция выполнялась в бесконечном цикле, чтобы никто не мог прервать ее. С другой стороны, преодоление такого механизма самозащиты не представляло сложности для опытного пользователя, он мог использовать для разблокировки механизм Android Debug Bridge (ADB) или отключить права Администратора, а также удалить вредоносное ПО в безопасном режиме (Safe Mode).
В новой модификации семейства вымогателей для Android, которая обнаруживается антивирусными продуктами ESET как Android/Lockerpin.A, пользователи лишены какого-либо способа восстановления утраченного управления над своим устройством, не имея прав root или без установленного security-продукта на устройстве. При этом исключается очевидный способ hard reset, который помогает вернуть устройство к заводским настройкам и удалить из него все данные.
Кроме этого, вымогатель также использует особый метод для получения и поддержки прав администратора (Device Administrator) на устройстве для предотвращение своего удаления. Это первый случай подобного поведения вредоносной программы для Android из тех, что мы наблюдали ранее.
После успешной установки на устройство, Android/Lockerpin.A пытается получить привилегии администратора устройства в системе. Этот метод используется авторами вредоносных программ для Android все чаще и значительно затрудняет их удаление из системы. Более ранние версии семейства Android/Locker также полагались на него.
В последних версиях, однако, вымогатель получает права администратора более скрытно чем в предыдущих. Специальное окно активации со специальным названием «Update patch installation» перекрывает основное окно блокировки вымогателя. Когда пользователь нажимает на элемент управления этого окна для «установки обновления», он активирует привилегии администратора устройства, предоставляя их вредоносной программе.
Рис. Окно скрытной активации режима администратора устройства.
После нажатия на кнопку, устройство пользователя окажется в полном распоряжении вымогателя: вредоносный код получает права администратора и может заблокировать устройство, а также установить для его разблокировки новый PIN-код. После этой операции пользователю будет предложено заплатить выкуп в размере $500 за просмотр и хранение запрещенных порнографических материалов.
Рис. Окно с требованием выкупа.
После отображения этого предупреждения, экран устройства блокируется в типичном для подобного рода вымогателей стиле. В простом случае, закрыть окно вымогателя и удалить вредоносную программу из системы можно через загрузку в безопасном режиме или используя режим Android Debug Bridge (ADB). Однако, после отображения сообщения с предупреждением, Android/Lockerpin.A блокирует устройство с новым PIN-кодом, причем новый PIN-код неизвестен как владельцу, так и самим злоумышленникам. Единственным способом разблокировать устройство является его сброс до заводских настроек или получение root-привилегий в системе.
Рис. Экран разблокировки устройства вымогателя.
Механизмы самозащиты вымогателя
Вымогатель Android/Lockerpin.A не только получает права администратора устройства, он также использует своего рода агрессивные механизмы самозащиты для их поддержки. В том случае, если пользователь захочет деактивировать режим администратора устройства для вредоносной программы, он не сможет выполнить такую операцию, поскольку вредоносная программа регистрирует функцию обратного вызова (callback) для повторной активации повышенных привилегии в случае попытки их удаления. При попытке пользователя отключить этот режим повышенных прав, ему отображается фальшивое окно, которое представлено на Рис. 4. Нажатие на кнопку «Continue» повторно активизирует режим администратора.
Рис. Сообщение с предупреждением об отключении режима администратора устройства.
В самозащиту Lockerpin входят механизмы по принудительному завершению процессов антивирусных продуктов в системе, когда пользователь пытается отключить права администратора. Список антивирусных продуктов включает в себя ESET Mobile Security, Avast и Dr.Web.
Рис. Функция принудительного завершения запущенных процессов.
Отслеживание действий процесса com.android.settings является попыткой предотвратить удаление вредоносной программы из системы через встроенный в Android менеджер приложений. Механизмы самозащиты нашего антивирусного продукта ESET Mobile Security не позволяют принудительно завершить его процессы.
Пути распространения
Злоумышленники выбрали методы социальной инженерии для заманивания пользователя на установку вредоносной программы. Для этого ее предлагают в качестве видео для взрослых, а также приложения для просмотра подобного рода содержимого. Во всех таких случаях приложение называлось «Porn Droid».
Статистика, полученная с использованием нашей облачной технологии ESET LiveGrid, показывает, что наибольшее число зараженных устройств находится в США (более 75% от общего количества заражений). Подобная география распространения не является привычной для нас, поскольку те вымогатели, которые мы фиксировали ранее, преимущественно использовались для компрометации пользователей в России и на Украине. Очевидно, что в США злоумышленники могут получить большую выгоду от компрометации пользователей, чем в вышеупомянутых странах.
Рис. География распространения Android/Lockerpin.A.
Разблокировка устройства
Как мы уже упоминали ранее, единственным решением, которое может быть использовано для снятия экрана с запросом PIN-кода, без возвращения устройства к заводским настройкам, является получение прав root или использование функций уже установленного security-ПО. В случае получения прав root, пользователь может использовать средство ADB для подключения устройства к ПК и удаления файла с PIN-кодом вредоносной программы. Для выполнения такой операции, устройство должно иметь включенную функцию отладки (Settings -> Developer options -> USB Debugging). При этом пользователь может использовать следующий набор команд для разблокировки устройства.
> adb shell
> su
> rm /data/system/password.key
После выполнения вышеуказанных команд, экран с запросом PIN-кода будет удален, а пользователь получит доступ к устройству. В некоторых случаях, после проведенных операций, необходима перезагрузка устройства.
К счастью, пользователь не может загрузить вредоносное приложение Android/Lockerpin.A с Google Play Store. Вредоносная программа может попасть на устройство пользователя через сторонние магазины приложений, веб-сайты с пиратским ПО или торренты. Наиболее эффективным способом избежать заражения и блокировки устройства является использование проактивных средств защиты. Мы настоятельно рекомендуем своевременно обновлять антивирус. Антивирусный продукт ESET Mobile Security обнаруживает эту угрозу как Android/Lockerpin.A.
Мобильный вымогатель Android/Locker.B принимает выкуп в формате подарочных карт для iTunes
Рекомендуем почитать:
Xakep #297. Язык самолетов
- Содержание выпуска
- Подписка на «Хакер» -60%
Специалисты компании ESET предупредили о новой малвари для Android, которая немного отличается от своих «коллег по цеху». Угроза получила идентификатор Android/Locker.B и является классическим локером, то есть блокирует доступ к операционной системе зараженного устройства.
Исследователи сообщают, что вымогатель распространяется через форумы, специально созданные злоумышленниками, а также через файлообменные сервисы. Он маскируется под программу для работы с камерой в WhatsApp, антивирус для Android, легитимное приложение Dropbox или Flash Player.
После установки на мобильное устройство вредоносное приложение запрашивает права администратора устройства. Получив необходимые разрешения, малварь блокирует доступ к операционной системе, меняя PIN-код для экрана блокировки. Далее Locker.B выводит на экран требование выкупа, оформленное в классическом стиле «полицейских вымогателей», то есть запугивает пользователя сообщениями, якобы написанными от лица правоохранительных органов.
Сумма выкупа варьируется в рамках 25-50 долларов или евро, но Locker.B обладает интересной особенность. Дело в том, что злоумышленники принимают выкуп подарочными картами iTunes и предоставляют своим жертвам подробную инструкцию по их покупке и использованию.
Хотя в теории специалисты компании Apple могут отследить подарочные карты, это «платежное средство» на протяжении многих лет используется хакерским андеграундом в качестве своеобразной валюты. Locker.B тоже далеко не первый вредонос, использующий такую тактику. К примеру, еще в 2016 году был обнаружен мобильный вымогатель Cyber.Police, так же заставлявший пострадавших покупать подарочные карты iTunes.
Эксперты ESET сообщают, что пока эта версия вымогателя наиболее активна в странах Латинской Америки: 71% срабатываний антивирусных решений ESET приходится на Мексику. Тем не менее, злоумышленникам не составит труда переориентировать угрозу на другие регионы.