Na sociálních sítích a v chatovacích aplikacích se šíří ruský mobilní ransomware
autor: Mirek Kočí , publikováno 29.4.2020

Ransomwarové útoky nejsou ničím novým. CryptoLocker, WannaCry a v Česku dobře známý Ryuk způsobily obrovské škody organizacím po celém světě. Nedávno jsme informovali o útocích na nemocnice a zdravotnická zařízení a hrozbě dvojitého vydírání. Ransomware se ale také stále častěji přesouvá i do mobilního světa. A velmi rychle se vyvíjí, protože kyberzločinci využívají své zkušenosti s tradičním ransomwarem.

Příkladem je malware „Black Rose Lucy“, který byl objeven v září 2018 kyberbezpečnostní společností Check Point. Lucy je MaaS (Malware-as-a-Service) botnet a umožňuje také stahování dalších škodlivých kódů na zařízeních se systémem Android. Nyní se po téměř dvou letech Lucy vrací s novými ransomwarovými funkcemi, které umožňují převzít kontrolu nad zařízením, provádět změny a instalovat další škodlivé aplikace.

Společnost Check Point nyní odhalila 80 vzorků nové varianty právě Black Rose Lucy. Hrozba se maskuje za neškodně vypadající aplikace pro přehrávání videí a šíří se hlavně prostřednictvím odkazů na sociální sítích a v chatovacích aplikacích.

Na sociálních sítích a v chatovacích aplikacích se šíří ruský mobilní ransomware

Lucy používá rafinované metody, jak obelstít uživatele a proniknout do zařízení se systémem Android:

1. Šíří se prostřednictvím sociálních sítí a chatovacích aplikací a maskuje se jako aplikace pro přehrávání videa.
2. Snaží se přimět uživatele, aby povolil službu Accessibility Service a předstírá, že tak povolí falešnou službu VSO pro optimalizaci streamování videa.
3. Uděluje si administrátorská oprávnění s využitím právě služby Accessibility Service.
4. Šifruje soubory v zařízení a šifrovací klíč uloží do sdílených předvoleb.
5. Zobrazí výzvu k zaplacení „pokuty“ od FBI a pro zaplacení požaduje informace o kreditní kartě.

Lucy je sofistikovaná hrozba, který pochází z Ruska. Jakmile do zařízení pronikne a získá nad ním kontrolu, dokončí šifrování požadovaných souborů a ověří, že soubory byly úspěšně zašifrovány. Následně Lucy zobrazí v okně prohlížeče zprávu se žádostí o výkupné. Výkupné se maskuje jako oficiální zpráva od FBI, která oběť obviňuje z držení pornografického obsahu, kvůli čemuž byla data zašifrována a zařízení bylo uzamčeno.

Na sociálních sítích a v chatovacích aplikacích se šíří ruský mobilní ransomware

Zpráva dále uvádí, že podrobnosti o oběti byly nahrány do datového centra FBI a připojen je i seznamem trestných činů, z jejichž spáchání je oběť obviněna. Oběť je vyzvána k zaplacení „pokuty“ ve výši 500 dolar a poskytnutí informací o platební kartě. Poskytnutí informací o platební kartě je velmi netradiční, protože mobilní ransomware obvykle vyžaduje platbu v bitcoinech.

„Sledujeme rychlý rozvoj mobilního ransomwaru. Mobilní malware je stále sofistikovanější a efektivnější. Útočníci totiž využívají zkušenosti z předchozích kampaní. Napodobení FBI je snahou uživatele vystrašit, vyvolat emoce a přimět ho rychle jednat. Očekáváme, že dříve nebo později zažije mobilní svět nějaký opravdu masivní a ničivý ransomwarový útok. Je to děsivá, ovšem velmi reálná možnost,“ “ říká Petr Kadrmas, Security Engineer Eastern Europe ve společnosti Check Point. 

„Proto důrazně varujeme, při prohlížení videí na sociálních sítích se raději dvakrát zamyslete a podívejte, než něco přijmete nebo povolíte,„Používejte pokročilé bezpečnostní řešení a aplikace stahujte pouze z oficiálních obchodů. Zároveň pravidelně aktualizujte svůj operační systém a aplikace,“ dodal.



Tagy: Ransomware  Lucy  malware  vir  
 
Komentáře k článku
RSS
Pouze registrovaní uživatelé mohou přidat komentář!
4.5.2020 05:48:25   94.242.92.xxx 11
ehm, že by konečně začal uživatel číst práva, která uděluje aplikaci při instalaci. Asi netřeba dodávat, že android je dobře zabezpečen. Ale všechno rozhodnutí co jaká aplikace smí, nechal na uživateli.
11.5.2020 01:40:42   89.102.38.xxx 11
Hodit to na běžného uživatele je hrozně jednoduché. Aplikace X požaduje oprávnění Y. Je to dobře? Je to špatně? Co se stane když to nepovolí? Žádné další informace uživatel obvykle nemá. Uživatel má dvě možnosti. Aplikaci X oprávnění Y zakázat. Tedy, zakázat všechno všem. Výsledek je, že nic nefunguje. Druhá možnost je povolit všechno všem. Pak funguje všechno. Co si asi zvolí?

Redakce si vyhrazuje právo odstranit neslušné a nevhodné příspěvky. Případné vyhrady na diskuze(zavináč)pctuning.cz

11 čtenářů navrhlo autorovi prémii: 3.9Kč Prémie tohoto článku jsou již uzavřené, děkujeme za váš zájem.
Tento web používá k poskytování služeb soubory cookie.