ESET обнаружила первый шифратор для Android с функцией блокировки экрана

ESET обнаружила первый шифратор для Android с функцией блокировки экрана

ESET обнаружила первый шифратор для Android с функцией блокировки экрана

Эксперты ESET обнаружили первый шифратор с функцией блокировки экрана, атакующий смартфоны и планшеты на базе Android. Шифратор DoubleLocker построен на базе мобильного банковского трояна для Android-устройств.

Тем не менее, у него отсутствуют функции, предназначенные для сбора банковских данных пользователей. Вместо этого DoubleLocker оснащен двумя инструментами для вымогательства: он может изменить PIN-код устройства на произвольный, а также шифрует найденные данные. Такое сочетание функций в экосистеме Android наблюдается впервые. 

DoubleLocker распространяется «классическим» способом, как и его предок-банкер – преимущественно под видом Adobe Flash Player через скомпрометированные сайты. 

После запуска на устройстве пользователя приложение предлагает активировать вредоносную службу специальных возможностей под названием Google Play Service. Получив необходимые для работы разрешения, DoubleLocker активирует права администратора и устанавливает себя как лаунчер по умолчанию.   

«Самоустановка в качестве лаунчера по умолчанию повышает сохранность вредоносного ПО на устройстве, – комментирует Лукас Стефанко, вирусный аналитик ESET, обнаруживший DoubleLocker. – Каждый раз, когда пользователь нажимает кнопку «Домой», вымогатель активируется и снова блокирует экран планшета или смартфона». 

После выполнения на устройстве DoubleLocker использует два веских аргумента, чтобы убедить пользователя оплатить выкуп. 

Во-первых, он изменяет PIN-код планшета или смартфона, что препятствует использованию устройства. В качестве нового PIN задается случайное значение, код не хранится на устройстве и не отправляется куда-либо вовне, поэтому пользователь или специалист по безопасности не сможет его восстановить. 

Во-вторых, DoubleLocker шифрует все файлы в основном хранилище устройства. Он использует алгоритм шифрования AES и добавляет расширение .cryeye.

Сумма выкупа составляет 0,0130 биткоина (около 4000 рублей), в сообщении злоумышленников подчеркивается, что оплата должна быть произведена в течение 24 часов. Если выкуп не будет перечислен, данные останутся зашифрованными. 

«DoubleLocker – еще одна причина установить качественное решение для безопасности мобильного устройства и регулярно создавать резервные копии», – подчеркивает Лукас Стефанко.  

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Количество кибератак на автомобили в России в 2025 году выросло на 20%

Согласно исследованию АО «ГЛОНАСС» и компании «Технологии безопасности транспорта» (ТБТ), за восемь месяцев 2025 года зафиксировано 328 кибератак на автомобили. Это на 20 больше, чем за аналогичный период 2024 года. О 20-процентном росте в годовом выражении сообщили также в компании «Спикател», однако абсолютные значения там не раскрыли.

Отчёт по исследованию оказался в распоряжении «Ведомостей». Данные собирались из разных источников: как открытых (ИТ-компании, органы власти), так и закрытых — включая результаты bug bounty-программ и информацию из профессиональных сообществ специалистов по ИТ и ИБ.

Анализ показал, что 93% атак совершаются удалённо. В 85% случаев злоумышленники эксплуатируют уязвимости Bluetooth или облачных сервисов. Такие атаки позволяют дистанционно управлять автомобилем или даже угнать его. В числе часто используемых векторов названы системы сенсорного слияния (лидары и радары), технологии SDV (Software Defined Vehicles, программно определяемый функциональность автомобиля) и AV (Autonomous Vehicles, системы автономного вождения).

По словам руководителя направления кибербезопасности транспортных средств АО «ГЛОНАСС» Владимира Педанова, особенно востребованы взломы SDV-сервисов, которые автопроизводители предоставляют за дополнительную плату. Так, Volkswagen, Tesla и John Deere распространяют подобные функции через подписки. Например, инструменты для взлома автопилота John Deere появились всего через месяц после начала его коммерческого распространения.

Взлом технологий автопилота, подчеркнул Педанов, гораздо опаснее, так как напрямую влияет на безопасность движения. Однако исполнительный директор ассоциации «Консорциум предприятий в сфере автомобильных электронных приборов и телематики» Дмитрий Корначев считает, что ущерб от таких атак пока ограничен из-за невысокой зрелости телематических систем.

Главным мотивом злоумышленников становится блокировка систем автомобиля ради вымогательства. При этом сами автопроизводители также могут использовать схожие механизмы против «серых» машин.

Генеральный директор группы компаний ST IT, эксперт рынка TechNet НТИ Антон Аверьянов указал, что перспективным вектором атак остаются внутренние сервисы автопроизводителей, где также выявляются уязвимости. Так, в сентябре 2024 года была обнаружена брешь в инфраструктуре KIA, затронувшая даже автомобили, владельцы которых не подключали KIA Connect. Однако такие случаи редки и быстро устраняются.

Руководитель ИБ-направления «Телеком биржи» Александр Блезнеков назвал системной проблемой крайне низкий уровень защищённости бортовых систем. Во многих автомобилях средства защиты отсутствуют вовсе, что делает их уязвимыми как для удалённых атак через интернет, так и для атак в непосредственной близости к машине.

Как отметил директор департамента расследований T.Hunter Игорь Бедеров, современные автомобили фактически превратились в компьютеры на колёсах. Они оснащены множеством систем, подключённых к интернету через сотовую связь или Wi-Fi, что значительно расширяет поверхность атаки. При этом автопроизводители и их поставщики становятся привлекательными целями для финансово мотивированных злоумышленников.

В то же время подобные угрозы актуальны лишь для относительно небольшой части автопарка. По данным страховых компаний, на которые ссылаются «Ведомости», как минимум 70% автомобилей в России старше 10 лет, и для них киберриски фактически не представляют опасности.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru