Android ransomware zaključava ekran i traži broj kreditne kartice i 9100 dolara

Mobilni telefoni, 20.01.2017, 01:00 AM

Kai Lu, istraživač iz kompanije Fortinet, otkrio je novi ransomware koji inficira Android uređaje, blokira pristup ekranu, i neprestano dosađuje korisnicima zahtevom da unesu informacije o svojim platnim karticama.

Ransomware za sada cilja samo korisnike sa ruskog govornog područja što se može zaključiti po obaveštenju o otkupnini koje je dostupno samo na ruskom.

Ransomware traži ogromnu otkupninu: 545000 rubalja (oko 9100 dolara). To je neobično jer je to između 10 i 100 puta više nego što je cena mobilnih telefona koje može da inficira ovaj ransomware. Logično, većina žrtava bi pre odabrala da kupi novi telefon nego da plati ovoliku otkupninu.

Da bi se otkupnina platila, žrtve moraju da unesu broj svoje kreditne kartice direktno u prozor koji prikazuje malver, što se razlikuje od načina plaćanja prilikom infekcije drugim ransomwareima, koje obično podrazumeva plaćanje bitcoinima, preko Tora ili poklon karticama.

Druga stvar koja razlikuje ovaj ransomware od drugih je upotreba Google Cloud Messaging platforme (GCM), koja se sada zove Firebase Cloud Messaging.

Ransomware je nazvan Android/Locker.FK!tr.

Inficirani telefoni kontaktiraju GCM platformu gde registruju i dobijaju ID koji prosleđuju direktno komandno-kontrolonom (C&C) serveru. Kada kriminalci žele da pošalju komande inficiranim telefonima, oni ih šalju preko GCM platforme. Oni tako mogu poslati 20 različitih komandi, pomoću kojih mogu zaključati ili otključati ekran uređaja, dodati nove kontakte telefonu, ukrasti sve kontakte iz telefona, poslati SMS poruke, i ažurirati kod malvera.

Kao i većina drugih Android malvera, malver je sakriven u aplikaciji koja traži od korisnika administratorska prava.

Aplikacija se najverovatnije preuzima i instalira iz nezvaničnih prodavnica aplikacija.

S obzirom da ransomware dobija administratorska prava, korisnici moraju da restartuju svoje uređaje u sigurnom modu i uklone aplikaciju sa uređaja.