Cyber.Police: Ransomware koji inficira Android uređaje bez interakcije korisnika

Mobilni telefoni, 27.04.2016, 01:00 AM

Ransomwarei za mobilne uređaje nisu naročito rašireni kao oni koji ciljaju računare. Ipak, istraživači kompanije Blue Coat otkrili su jedan neobični mobilni ransomware koji se isporučuje pomoću exploit alata i koji ne zahteva bilo kakvu interakciju korisnika da bi inficirao uređaj.

Ransomware je nazvan Cyber.Police, a istraživači su ga nazvali Dogsuspectus. Za razliku od ransomwarea za računare Cyber.Police ne šifruje fajlove korisnika, već samo zaključava ekrane inficiranih Android uređaja.

Ransomware se predstavlja kao upozorenje nepostojeće “Američke nacionalne bezbednosne agencije” koja kažnjava korisnika računara zbog navodnih nelegalnih aktivnosti. Kriminalci traže od žrtve da kupi dve Apple iTunes poklon kartice u vrednosti od po 100 dolara i pošalje im kodove kartica. Apple može da prati iTunes poklon kartice, ali one u sajber podzemlju mogu biti korišćene kao virtuelna valuta tako da mogu proći i godine pre nego što budu iskorišćene.

Istraživači kažu da su mogli da povežu inficirani uređaj sa računarom i da kopiraju neizmenjene dokumente, fotografije i druge fajlove i sa interne memorije uređaja i sa SD kartice. Oni su uspeli da uklone malver kada su resetovali uređaj na fabrička podešavanja. To je jedini način da se Cyber.Police ukloni jer se instalira na uređaju kao obična aplikacija. Nadogradnja na noviju verziju Androida nije od pomoći jer taj proces ne utiče na aplikacije instalirane na uređaju.

Do infekcije Android uređaja dolazi kada korisnik poseti web sajt koji sadrži maliciozni JavaScript kod koji se isporučuje preko malicioznih reklama (malvertajzing).

Istraživači firme Zimperium potvrdili su da maliciozni kod sadrži exploit koji je procureo prošle godine kada je hakovana italijanska kompanija Hacking Team.

Analiza istraživača je otkrila i sledeće: exploit koristi ranjivost u libxslt Android biblioteci koja omogućava napadačima da preuzmu payload nazvan module.so koji sadrži kod za exploit “Towelroot” i koji omogućava dobijanje administratorskih privilegija na uređaju. Kada se obezbedi takav pristup uređaju, module.so preuzima dodatni Android APK koji sadrži kod ransomwarea. Sada napadači mogu krišom instalirati ransomware bez ikakvog učešća korisnika u tom procesu. Tokom napada, uređaj neće prikazivati kao što je to uobičajeno zahtev za davanje dozvola aplikacijama koji se obično prikazuje korisniku tokom instalacije bilo koje Android aplikacije.

Istraživači iz Blue Coat kažu da inficirani uređaji šalju nešifrovani saobraćaj centralnom serveru za komandu i kontrolu. Oni su pratili saobraćaj sa 224 Android uređaja, tableta i smart telefona, koji koriste verzije Androida od 4.0.3 do 4.4.4.

Korišćenje exploita Hacking Teama i Towelroot exploita za instalaciju malvera na Android uređajima uz pomoć automatizovanih exploit alata može imati ozbiljne konsekvence. “Najvažnija od njih je da ovi stariji uređaji koji nisu ažurirani niti će verovatno biti ažurirani najnovijom verzijom Androida, mogu u nedogled ostati podložni napadu”, kažu istraživači.