Koler zvyšuje skóre, aneb přibyl nám další přírůstek do rodiny ransomware na platformě Android
Koler se šíří ve formě odkazu v SMS zprávě, což je teď tak trochu trend v šíření malwaru na platformě Android, nicméně data nešifruje, takže se jedná o krok zpět.
V okamžiku, kdy dojde k infekci, tak je na všechny kontakty, které se nachází v adresáři telefonu rozeslána SMS zpráva s tímto textem: „Someone made a profile named [the contact’s name] and he uploaded some of your photos! is that you?“ Volně přeloženo: „Někdo si udělal profile [jméno z kontaktu] a nahrál tam tvé fotky! Jseš to ty?“ A samozřejmě následuje odkaz na onen profil, ovšem prohnaný zkracovačem na bit.ly, takže není zřejmé, kam vede.
Útočník předpokládá, že příjemce takové zprávy a navíc od člověka, kterého zná, na odkaz v SMS klikne a po přesměrování do Dropboxu, kde se nachází odkaz na stažení aplikace označené jako PhotoViewer, si ji i nainstaluje a tím se nakazí. Je vám asi jasné, že v tomto okamžiku se tento červ nejenže rozešle na všechny kontakty v adresáři, ale uzamkne i telefon a zobrazí výzvu k zaplacení 300 USD přes službu MoneyPak.
Jestli nejste pravidelným čtenářem tohoto webu ani dění na poli malwaru a obzvlášťě pak ransomware nesledujete, tak se možná ptáte, proč se jedná o krok zpět. Je tomu tak proto, že již na přelomu května a června jsme se mohli setkat se Simplockerem, prvním ransomwarem pro Android, který skutečně šifroval data uživatele, a svůj C&C server s klíči ukrýval v TORu a požadoval zaplacení výpalného ve výši 21 USD.
Záhy se však objevilo řešení v podobě aplikace, která umožnila data bezplatně dešifrovat. Chybou autora tohoto ransomwaru totiž bylo, že použil symetrickou funkci AES a heslo, které je použito pro šifrování i dešifrování, bylo uloženo přímo ve zdrojovém kódu jako konstanta. Každý, kdo si prohlédnul kód aplikace, v něm mohl snadno toto použité heslo najít.
Ve vývoji ransomware pro chytré telefony se však přesto jednalo o zlomový okamžik, protože předchozí verze ransomware nešifrovaly data, ale uzamykaly telefon. Jednalo se tedy jen o tzv. lockscreen ransomware, který „pouze“ znemožňoval používání samotného telefonu. Přesto nebylo úplně triviální se těchto ransomwarů zbavit, aniž by uživatel musel restartovat svůj telefon a nabootovat do safe módu, ale přeci jen to šlo.
To byl např. případ aplikace Android Defender detekované Symantecem, novější to verze falešného antiviru analyzovaného o nějaký ten pátek dříve Sophosem. Co je zajímavé, že na tomhle případě vidíme, jak rychle se ransomware pro smartphone, přesněji řečeno pro Android, vyvíjí.
Závěr: Doporučovaným řešením je samozřejmě stejně jako vždy, nic neplatit, protože tím podporujete jen další vývoj tohoto ransomware. V mnohých případech stačí telefon jen rebootovat a v safe módu a aplikaci normálně odinstalovat. Jindy je nutné si počkat na speciální řešení sloužící k dešifrování souborů. No a v neposlední řadě neklikat na každý odkaz v SMS a neinstalovat aplikace odjinud než z Google Play.
Štítky: Android, ransomware, smartphones
K článku “Koler zvyšuje skóre, aneb přibyl nám další přírůstek do rodiny ransomware na platformě Android” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.
