Koler zvyšuje skóre, aneb přibyl nám další přírůstek do rodiny ransomware na platformě Android

ransomware

Koler se šíří ve formě odkazu v SMS zprávě, což je teď tak trochu trend v šíření malwaru na platformě Android, nicméně data nešifruje, takže se jedná o krok zpět.

V okamžiku, kdy dojde k infekci, tak je na všechny kontakty, které se nachází v adresáři telefonu rozeslána SMS zpráva s tímto textem: „Someone made a profile named [the contact’s name] and he uploaded some of your photos! is that you?“ Volně přeloženo: „Někdo si udělal profile [jméno z kontaktu] a nahrál tam tvé fotky! Jseš to ty?“ A samozřejmě následuje odkaz na onen profil, ovšem prohnaný zkracovačem na bit.ly, takže není zřejmé, kam vede.

Útočník předpokládá, že příjemce takové zprávy a navíc od člověka, kterého zná, na odkaz v SMS klikne a po přesměrování do Dropboxu, kde se nachází odkaz na stažení aplikace označené jako PhotoViewer, si ji i nainstaluje a tím se nakazí. Je vám asi jasné, že v tomto okamžiku se tento červ nejenže rozešle na všechny kontakty v adresáři, ale uzamkne i telefon a zobrazí výzvu k zaplacení 300 USD přes službu MoneyPak.

Jestli nejste pravidelným čtenářem tohoto webu ani dění na poli malwaru a obzvlášťě pak ransomware nesledujete, tak se možná ptáte, proč se jedná o krok zpět. Je tomu tak proto, že již na přelomu května a června jsme se mohli setkat se Simplockerem, prvním ransomwarem pro Android, který skutečně šifroval data uživatele, a svůj C&C server s klíči ukrýval v TORu a požadoval zaplacení výpalného ve výši 21 USD.

Záhy se však objevilo řešení v podobě aplikace, která umožnila data bezplatně dešifrovat. Chybou autora tohoto ransomwaru totiž bylo, že použil symetrickou funkci AES a heslo, které je použito pro šifrování i dešifrování, bylo uloženo přímo ve zdrojovém kódu jako konstanta. Každý, kdo si prohlédnul kód aplikace, v něm mohl snadno toto použité heslo najít.

Ve vývoji ransomware pro chytré telefony se však přesto jednalo o zlomový okamžik, protože předchozí verze ransomware nešifrovaly data, ale uzamykaly telefon. Jednalo se tedy jen o tzv. lockscreen ransomware, který „pouze“ znemožňoval používání samotného telefonu. Přesto nebylo úplně triviální se těchto ransomwarů zbavit, aniž by uživatel musel restartovat svůj telefon a nabootovat do safe módu, ale přeci jen to šlo.

To byl např. případ aplikace Android Defender detekované Symantecem, novější to verze falešného antiviru analyzovaného o nějaký ten pátek dříve Sophosem. Co je zajímavé, že na tomhle případě vidíme, jak rychle se ransomware pro smartphone, přesněji řečeno pro Android, vyvíjí.

Závěr: Doporučovaným řešením je samozřejmě stejně jako vždy, nic neplatit, protože tím podporujete jen další vývoj tohoto ransomware. V mnohých případech stačí telefon jen rebootovat a v safe módu a aplikaci normálně odinstalovat. Jindy je nutné si počkat na speciální řešení sloužící k dešifrování souborů. No a v neposlední řadě neklikat na každý odkaz v SMS a neinstalovat aplikace odjinud než z Google Play.


Pokud vás tento příspěvek zaujal, sdílejte ho!
Share on FacebookShare on LinkedInTweet about this on TwitterShare on Google+Email this to someonePrint this page

Štítky: , ,


K článku “Koler zvyšuje skóre, aneb přibyl nám další přírůstek do rodiny ransomware na platformě Android” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: