Kampania ransomware na Androida 4.X – infekcja bez interakcji użytkownika

25 kwietnia 2016, 20:44 | Aktualności | komentarze 4
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Firma BlueCoat donosi o aktywnych kampaniach malware/ransomware mających na celowniku posiadaczy Androidów w wersjach 4.x (4.0 – 4.4).

Źródło: Bluecoat

Źródło: Bluecoat

Autorzy opracowania wskazują na mocne „zapożyczenie” kodu exploitów, które wyciekły z ataku na Hacking Team (m.in. Towelroot – exploit umożliwiający privilege escalation do roota).

Interesującym jest fakt, że często instalacja malware na Androidzie następuje poprzez nakłonienie użytkownika do instalacji ‚legalnej’ aplikacji, podczas gdy jest ona ordynarnym malware.

Tutaj sytuacja wygląda inaczej – wystarczy że użytkownik wejdzie na zainfekowaną stronę, a odpowiedni javascript robi całą czarną robotę (tj. instaluje w tle odpowiednią aplikację – oczywiście jest to możliwe tylko dzięki skutecznemu odpaleniu serii exploitów):

Blue Coat Labs discovered the novel attack method when a test Android device in a lab environment was hit with the ransomware when an advertisement containing hostile Javascript loaded from a Web page.

Ransoware, na szczęście nie szyfruje plików a „jedynie” blokuje urządzenie tak aby można było zapłacić okup w formie dwóch kart podarunkowych Applea (!) – każda po $100:

The ransomware doesn’t threaten to (or actually) encrypt the victim’s data. Rather, the device is held in a locked state where it cannot be used for anything other than delivering payment to the criminals in the form of two $100 Apple iTunes gift card codes.

Źródło: Bluecoat

Źródło: Bluecoat

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Ja.

    Ordynarny to nie to samo co ordinary.

    Odpowiedz
    • To prawda, ale u nas jest ordynarny i pasuje jak znalazł :)

      Odpowiedz
  2. Falka

    No dobrze, ale jak się przed tym bronić? Jest jakiś sposób na obejście tego „okupu”?

    Odpowiedz
    • Może być trudno. Trochę rosyjska ruletka jak w przypadku różnych ransomware.

      Odpowiedz

Odpowiedz