AM_Bot

Тренд сезона — блокировщики и энкодеры под Android

В этой теме 3 сообщения

20 июня 2014 года

Еще в 2011 году специалисты компании «Доктор Веб» предрекали появление, а также широкое распространение программ-вымогателей для мобильной платформы Google Android, и спустя без малого три года этот прогноз сбылся. 22 мая 2014 года Антивирус Dr.Web для Android начал детектировать первый в истории энкодер для данной мобильной платформы, и уже к середине июня ассортимент программ-вымогателей, угрожающих пользователям Android, заметно расширился.

Первым представителем подобного класса угроз стал троянец-шифровальщик Android.Locker.2.origin, способный заражать устройства, работающие под управлением ОС Android. Согласно имеющейся у компании «Доктор Веб» статистике, начиная с 22 мая 2014 года, когда запись для этой вредоносной программы была впервые добавлена в вирусные базы, Антивирус Dr.Web для Android предотвратил более 21 276 случаев заражения мобильных устройств троянцем Android.Locker.2.origin. Для пользователей смартфонов и планшетов под управлением ОС Google Android, не защищенных антивирусным ПО, Android.Locker.2.origin представляет чрезвычайно высокую опасность. Запустившись на инфицированном мобильном устройстве, данная вредоносная программа находит хранящиеся на сменных картах смартфона или планшета файлы с расширениями .jpeg, .jpg, .png, .bmp, .gif, .pdf, .doc, .docx, .txt, .avi, .mkv, .3gp, после чего шифрует их, добавляя к каждому файлу расширение .enc. Затем экран мобильного устройства блокируется и на него выводится сообщение с требованием заплатить выкуп за расшифровку файлов.

03_mobile_Android.Locker.1.png

От действий троянца могут пострадать хранящиеся на сменных картах мобильного устройства фотографии, видео и документы. Кроме того, энкодер похищает и передает на сервер злоумышленников различную информацию об инфицированном устройстве (включая, например, идентификатор IMEI). Для шифрования используется алгоритм AES, а управляющий сервер данной вредоносной программы расположен в сети TOR на ресурсе с псевдодоменом .onion, что позволяет злоумышленникам обеспечивать высокий уровень скрытности.

В отличие от других аналогичных вредоносных программ, троянец Android.Locker.5.origin ориентирован в первую очередь на пользователей из Китая. Судя по некоторым признакам, вирусописатели разрабатывали его не с целью заработка, а просто ради хохмы, желая подшутить над незадачливыми жертвами. После своего запуска Android.Locker.5.origin блокирует мобильное устройство и демонстрирует на его экране следующее сообщение:

cap4.1.png

В тексте говорится о том, что данное приложение позволит заблокированному телефону «немного отдохнуть», а в нижней части окна располагается таймер, отсчитывающий 24 часа, — по истечении этого времени мобильное устройство автоматически разблокируется. Android.Locker.5.origin использует системные функции Android для проверки статуса своего процесса, автоматически перезапускает его в случае остановки и предотвращает попытки запуска на устройстве других приложений, что значительно затрудняет возможность удаления этого троянца. В остальном Android.Locker.5.origin не располагает каким-либо опасным вредоносным функционалом, позволяющим зашифровать или удалить файлы на инфицированном планшете или смартфоне.

В июне семейство троянцев-вымогателей для Android пополнилось угрозами, получившими наименования Android.Locker.6.origin и Android.Locker.7.origin, — под этими именами скрываются ориентированные на американских пользователей вредоносные программы, блокирующие экран мобильного устройства и требующие у жертвы выкуп за его разблокировку. Данные программы распространяются под видом проигрывателя Adobe Flash и в момент установки требуют у пользователя предоставить приложению права администратора.

cap1.1.png

cap2.1.png

cap3.1.png

Затем троянец имитирует сканирование устройства и блокирует экран, на который выводится сообщение об обнаружении якобы незаконного контента.

cap5.1.png

cap6.1.png

За разблокировку устройства троянец требует заплатить 200 долларов с использованием платежной системы MoneyPack.

cap14.1.png

cap9.1.png

В процессе своей установки вредоносные программы Android.Locker.6.origin и Android.Locker.7.origin проверяют наличие на инфицированном устройстве следующих приложений:

  • com.usaa.mobile.android.usaa;
  • com.citi.citimobile;
  • com.americanexpress.android.acctsvcs.us;
  • com.wf.wellsfargomobile;
  • com.tablet.bofa;
  • com.infonow.bofa;
  • com.tdbank;
  • com.chase.sig.android;
  • com.bbt.androidapp.activity;
  • com.regions.mobbanking.

В случае их обнаружения троянец отправляет информацию об этом на принадлежащий злоумышленникам сервер. Также Android.Locker.6.origin и Android.Locker.7.origin похищают на зараженном устройстве данные из адресной книги (имя контакта, номер телефона и email), отслеживают входящие и исходящие вызовы и могут их блокировать. Вся собранная информация, в том числе о телефонных звонках, также передается на управляющий сервер.

Вредоносные программы Android.Locker.2.origin, Android.Locker.5.origin, Android.Locker.6.origin и Android.Locker.7.origin распознаются и удаляются Антивирусом Dr.Web для Android при попытке проникновения на защищаемое устройство. Специалисты компании «Доктор Веб» напоминают, что самый надежный способ предотвратить заражение этими опасными троянскими программами — использование современного надежного антивирусного ПО.

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

есть какая-то правильная инфа о борьбе руками с локерами? вдруг притащат мне такой девайс...

в аналогичной статье на хабре от нода одним из векторов распространения указаны уязвимости. кто-то может рассказать подробнее?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Если говорить конкретно о распространении, то под уязвимостями может пониматься, например, Master Key (некорректная обработка дублирующихся файлов внутри .apk-пакета), Name Length Field или Extra Field. Но вообще, андроидные локеры, насколько мне известно, в большинстве случаев распространяются под видом легитимного софта (всяких обновлений оперы и flаsh-плееров), то есть, пользователь ставит их руками. Пока самый очевидный способ борьбы с этой напастью - откат телефона к заводским настройкам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • DinaMItVV
      Не удивительно, мы информатику изучали в старших классах и ВУЗах, а дети наши с первого класса.  Кибернетическое поколение растет.  Да и требования в школах по многим предметам сейчас связаны с компьютером напрямую.  А по вопросу созлания сайта наверное лучше обратиться на тематические форумы, там больше  знающих ІТ-технологии людей общается, могут и чайникам помочь.
    • 7006605
      22 мая в Творческой мастерской им. А. Н. Сокурова Кабардино-Балкарского государственного университета им. Х. М. Бербекова прошла Всероссийская акция «СТОП ВИЧ/СПИД», приуроченная к Международному дню памяти жертв СПИДа. Акция проводилась медицинским факультетом университета для старшеклассников города Нальчика.  Как отметила доцент кафедры факультетской терапии МФ КБГУ, доктор медицинских наук Зарета Камбачокова, главная задача акции – привлечь внимание к проблеме ВИЧ-инфекции и СПИДа, донести до каждого правильную и полную информацию об этой болезни и, главное, помочь защитить себя и своих близких.  Программа встречи предусматривала интерактивную лекцию, фильм по профилактике ВИЧ-инфекции, также ведущие зачитали письмо женщины, которая рассказывала о своей жизни после того, как узнала о своем диагнозе. Со статистической информацией выступила врач-терапевт центра СПИД КБР Марина Хакунова. У всех участников акции была возможность задать специалистам интересующие их вопросы и получить исчерпывающие ответы.
    • Dion
      Полностью с вами согласен, что заморачиваться в крайней степени незачем, в наше время всё поставлено на поток и  максимально автоматизировано. У меня ещё не было такого, чтобы посылка не пришла всё вопрос времени, когда быстрее посылка придёт когда медленнее но всегда приходила!
    • rustlakov
      Умные люди всегда найдут на чём заработать и как. Тем более что возможностей заработать деньги в наше время очень и очень большое количество. Только слепой не увидит их. А что уж там говорить про интернет. Он сейчас настолько развит что в нём даже можно уже деньги зарабатывать. Лет десять назад про это ещё никто не знал. Сейчас же ситуация очень изменилась.
    • Pechalka
      Вообще не замарачиваюсь по этому поводу. Где там моя посылка... Заказываю всегда всё заранее и сижу не дергаюсь, на любом сайте указаны сроки доставки, раньше указанного срока даже и не переживаю о посылке и вот до сих пор всё всегда приходило, что-то быстро, что-то не очень. Но в целом меня всё устраивает.