ESET обнаружила первый шифратор для Android с функцией блокировки экрана

ESET обнаружила первый шифратор для Android с функцией блокировки экрана

ESET обнаружила первый шифратор для Android с функцией блокировки экрана

Эксперты ESET обнаружили первый шифратор с функцией блокировки экрана, атакующий смартфоны и планшеты на базе Android. Шифратор DoubleLocker построен на базе мобильного банковского трояна для Android-устройств.

Тем не менее, у него отсутствуют функции, предназначенные для сбора банковских данных пользователей. Вместо этого DoubleLocker оснащен двумя инструментами для вымогательства: он может изменить PIN-код устройства на произвольный, а также шифрует найденные данные. Такое сочетание функций в экосистеме Android наблюдается впервые. 

DoubleLocker распространяется «классическим» способом, как и его предок-банкер – преимущественно под видом Adobe Flash Player через скомпрометированные сайты. 

После запуска на устройстве пользователя приложение предлагает активировать вредоносную службу специальных возможностей под названием Google Play Service. Получив необходимые для работы разрешения, DoubleLocker активирует права администратора и устанавливает себя как лаунчер по умолчанию.   

«Самоустановка в качестве лаунчера по умолчанию повышает сохранность вредоносного ПО на устройстве, – комментирует Лукас Стефанко, вирусный аналитик ESET, обнаруживший DoubleLocker. – Каждый раз, когда пользователь нажимает кнопку «Домой», вымогатель активируется и снова блокирует экран планшета или смартфона». 

После выполнения на устройстве DoubleLocker использует два веских аргумента, чтобы убедить пользователя оплатить выкуп. 

Во-первых, он изменяет PIN-код планшета или смартфона, что препятствует использованию устройства. В качестве нового PIN задается случайное значение, код не хранится на устройстве и не отправляется куда-либо вовне, поэтому пользователь или специалист по безопасности не сможет его восстановить. 

Во-вторых, DoubleLocker шифрует все файлы в основном хранилище устройства. Он использует алгоритм шифрования AES и добавляет расширение .cryeye.

Сумма выкупа составляет 0,0130 биткоина (около 4000 рублей), в сообщении злоумышленников подчеркивается, что оплата должна быть произведена в течение 24 часов. Если выкуп не будет перечислен, данные останутся зашифрованными. 

«DoubleLocker – еще одна причина установить качественное решение для безопасности мобильного устройства и регулярно создавать резервные копии», – подчеркивает Лукас Стефанко.  

Дуров купил t.you после блокировки t.me из-за санкций США

Павел Дуров решил подстраховаться после недавней блокировки домена t.me и купил для Telegram ещё один короткий адрес — t.you. У регистратора домен уже помечен как занятый, хотя в WHOIS информация о новом владельце пока не появилась.

«Я только что купил t.you в дополнение к t.me, так что теперь это становится общей проблемой», — написал основатель мессенджера 15 июля.

Покупка случилась после довольно абсурдной истории с t.me. 13 июля Минфин США внёс First VPN Service в санкционный список и указал среди связанной инфраструктуры телеграм-канал на домене t.me.

Реестр Domain.ME, управляющий зоной .me, отреагировал широко: вместо блокировки одной ссылки он отправил в serverHold весь домен t.me. В результате короткие ссылки Telegram перестали открываться по всему миру.

В Domain.ME объяснили, что обязаны соблюдать санкционные требования. По версии реестра, Telegram подтвердил удаление ссылок и разрыв связей с 1VPNS, после чего блокировку сняли.

Пока домен лежал, Telegram срочно переключал ссылки на telegram.me и даже telegram.dog. Через несколько часов t.me вернули в DNS, но инцидент показал, насколько один короткий домен зависит от решения внешнего реестра.

Теперь у Telegram появился запасной вариант — t.you. Судя по реакции Дурова, второй раз отдавать всю систему коротких ссылок на волю одного оператора он не собирается.

RSS: Новости на портале Anti-Malware.ru