Strona główna

Użytkownicy Androida zagrożeni nowym wirusem

Fot. yusamoilov / Flickr
Fot. yusamoilov / Flickr

Trwa aktywna kampania ransomware wymierzona we właścicieli telefonów z oprogramowaniem Android 4.0 – 4.4. Sprawa jest poważna, ponieważ urządzenia z tą wersją oprogramowania to prawie 62% wszystkich telefonów na rynku.

Program w systemie Androida figuruję z nazwą „net.prospectus”. Ma za zadanie wymuszanie natychmiastowego zamykania aplikacji działających na telefonie. Nie pozwala na ich uruchomienie, ustawia się jako pierwsza aplikacja podczas włączania urządzenia, podobnie jak każdy inny ransomware. 

Firma BlueCoat Systems zajmująca się systemami cyberbezpieczeństwa na swojej stronie podaje dokładne informacje, w jaki sposób odkryła zagrożenie. Nowy exploit (program wykorzystujący błędy w oprogramowaniu) bazuje  na zapożyczonym kodzie od Towelroot - aplikacji umożliwiającej przejęcie kontroli nad telefonem. Hakerzy skorzystali z ostatniego wycieku kodów złośliwego oprogramowania z forum Hacking Team, które jest źródłem większości wirusów działających w sieci. Można tam kupić gotowe rozwiązania oraz narzędzia do tworzenia własnych.

Obrona przed tą kampanią nie będzie łatwa. Zwykle złośliwy pogram podszywa się pod zaufaną aplikację i próbuje dostać się do zasobów telefonu. Wtedy akceptując dostęp do niektórych elementów systemów, pozwalamy jej na swobodne działanie. Tutaj sprawa ma się jednak inaczej. Wystarczy wejść na zainfekowaną stronę, aby nieświadomie zarazić urządzenie. Odpowiada za to javascript, który po wejściu na stronę instaluje aplikację na telefonie użytkownika.

W odróżnieniu od typowego programu typu ransomware które szyfruje dane na urządzeniu, ten program jedynie blokuje dostęp do telefonu. Aby odblokować należy wykupić karty podarunkowe od firmy Apple – za przynajmniej 200 dolarów. Ofiary muszą podać numery kart podarunkowych przestępcom, którzy zwykle później sprzedają je na czarnym rynku.

Jedynym wyjściem, bez płacenia okupu za odzyskanie telefonu jest według firmy Blue Coat przywrócenie telefonu do ustawień fabrycznych. To niestety wiążę się z utratą aplikacji i danych na pamięci urządzenia. Firmie udało się skopiować wszystkie niezmodyfikowane przez wirusa dokumenty, zdjęcia czy inne pliki poprzez podłączenie telefonu do komputera. Używanie zaktualizowanej przeglądarki powinno pomóc, ale może nie uchronić do końca przed zainfekowaniem telefonu.


Źródłó: BlueCoat Systems

Poniżej lista domen, które mają związek ze złośliwym oprogramowaniem Towelroot.

puhtml[.]com bankloundaccount.pw energydietcatalist.pw  killerbeat.pw motocarsautodealers.pw
terraclicks[.]com bbs21.org enunciatewhat.pw killerdrawphoto.pw musicforcallback.pw
acquisition[.]pw bellatorsestiatedly.website grandmotherpickup.pw l2winterserver.pw opengghd.bid

acquisition.pw

besensibleofw.pw

gtyuossc.bid

leftthedeadkill.pw

pinkgoldgrey.pw

adjecture.website cheerlessone.pw inconstantvalley.pw lowbeatifulenergy.pw portilyinglying.website
affectionately.pw concusestidirious.website iontube.bid moltainbrut.pw powerbucket.pw
animatedr.pw eagererswelwebsitee.website jointube.bid motlotslotkitguide.pw practiceasarule.pw
wreteindex.pw Directbalancejs[.]com imgtumbsjs[.]com Directscriptjs.com Directbalancejs.com
Dnsscriptjs.com Jsloadbalancer.net Quicktembsload.net Pqtscriptdelivery.com Jquerydelivery.net
Pageloadoptimizer.net Mobileconversiontracker.net Quickscriptsloads.com

sequintuattractionist.website

toucannitionable.website

tubefoxxx.bid

tumnalize.website

waistcoat.pw

waterfulbigban.pw

Packetbalancejs.com

routerscansshserver.pw

       

Komentarze