Android ransomware Lockdroid ucenjuje korisnike da će istoriju pretrage proslediti kontaktima iz telefona

Mobilni telefoni, 28.01.2016, 01:00 AM

Istraživači Symanteca otkrili su novu verziju ransomwarea Android.Lockdroid.E koji pokušava da na prevaru od korisnika dobije administratorska prava, i ako u tome uspe, može da zaključa uređaj, promeni PIN kod uređaja, pa čak i da vraćanjem na fabrička podešavanja obriše podatke sa uređaja.

Android.Lockdroid.E se trenutno širi uz pomoć pornografske aplikacije pod nazivom “Porn 'O' Mania”.

Aplikacija se može naći u alternativnim prodavnicama aplikacija, tako da su korisnici koji preuzimaju aplikacije samo sa Google Play bezbedni, jer aplikacije u Googleovoj prodavnici prolaze kroz proces provere Googleovog tima.

Ono što izdvaja Lockdroid je način na koji on zloupotrebljava staru Android UI funkciju da bi se instalirao.

Ranosmware ima brojne načine da izvuče novac od žrtava. U većini slučajeva, kada žrtva preuzme i instalira lažnu trojanizovanu aplikaciju, malver zaključava ekran i prikazuje lažno upozorenje da je korisnik pristupao zabranjenom sadržaju. Za to vreme, malver prikuplja informacije o kontaktima korisnika i šifruje podatke sa uređaja, da bi zatim zatražio od žrtve da plati otkup, preteći joj da će u suprotnom izgubiti pristup podacima ali i da će istorija pretrage žrtve biti prosleđena svim njenim kontaktima.

Agresivnije tehnike zavise od taktika koje malver koristi da bi ubedio korisnika da omogući aplikaciji administratorska prava. Aplikacija prikazuje prozor za aktivaciju sistemske administracije sa opisom koji dovodi u zabludu korisnika. Dozvola korisnika omogućava aplikaciji da zaključa ekran uređaja, da resetuje PIN uređaja, ili čak da vrati fabrička podešavanja na uređaju. To sprečava korisnika da ukloni malver.

Nova verzija malvera je otišla korak dalje koristeći sofisticiraniji društveni inženjering da bi dobila administratorska prava. Kada je maliciozna aplikacija (u ovom slučaju “Porn 'O' Mania”) instalirana i kada je korisnik pokrene, pokrenuće se prozor "Acitivate device administrator" koji je pokriven lažnim prozorom “Package Installation”. Korisnik veruje da klikom na “Continue” instalira neophodni paket, a ustvari je u pitanju prvi korak u procesu aktivacije maliciozne aplikacije kao administratora uređaja, koji malveru obezbeđuje sve što mu je potrebno da bi ucenjivao korisnika.

Dok se to dešava, u pozadini aplikacija šifruje sve fajlove koji se nalaze u eksternoj memoriji i prikuplja sve osetljive korisničke informacije. Kada korisnik klikne na "Continue", pojaviće se dijalog za aktivaciju administracije uređaja koji bi normalno trebalo da bude u najvišem sloju UI. Međutim, malver koristi poruku TYPE_SYSTEM_ERROR kojoj starije verzije Androida dozvoljavaju da se pojavi preko prozora u kome je zahtev za administratorske dozvole. TYPE_SYSTEM_ERROR poruka koju koristi malver je dizajnirana tako da izgleda kao poruka koja ima veze sa “Package Installation”. To naravno nije slučaj i malver samo čeka neko vreme ne radeći ništa. Posle toga, prikazuje se poruka “Installation is Complete” i korisnik treba da klikne na "Continue". Poredeći ovaj prozor sa prozorom za aktivaciju adminsitratora uređaja, može se uočiti da se dugme "Continue" savršeno poklapa sa dumetom “Activate”, što znači da kada korisnik klikne na "Continue", on će ostvari pritisnuti "Activate".

Kada dobije administratorske privilegije, Lockdroid može da počne sa šifrovanjem fajlova korisnika i da prikuplja informacije sa liste njegovih kontakata.

Kada se sve završi, ransomware koristi administratorske dozvole da bi prikazao poruku na ekranu koju korisnik ne može da skloni sa ekrana i u kojoj je od njega traži da plati da bi mu fajlovi bili dešifrovani.

Da bi još više uplašio korisnika, Lockdroid mu preti da će, ako ne plati, njegovu istoriju pretrage interneta poslati njegovim kontaktima.

Lockdroid igra na kartu da se svako boji mogućnosti da detalji iz privatnog života budu otkriveni drugim ljudima. Ovo nije prvi ransomware za Android koji računa na to - sličnu taktiku smo u novembru prošle godine videli u slučaju ransomwarea Chimera, koji je pretio žrtvama da će poslati fajlove na online server.

Kada je reč o Lockdroidu, korisnici koji koriste novije verzije Androida, počev od 5.0, su bezbedni, jer na njima Lockdroid ne može da koristi clickjacking tehniku da bi se instalirao, već samo može da računa na lakoverne korisnike koji bi trebalo u tom slučaju da kliknu gde treba. Kod opreznijih korisnika to bi izazvalo sumnju i nateralo ih da razmisle o namerama aplikacije.

Loša vest je da dve trećine korisnika Androida jesu korisnici starijih verzija operativnog sistema, što znači da malver može da koristi ovu taktiku a da ne izazove sumnu kod korisnika.