Koler zvyšuje skóre, aneb přibyl nám další přírůstek do rodiny ransomware na platformě Android

ransomware

Koler se šíří ve formě odkazu v SMS zprávě, což je teď tak trochu trend v šíření malwaru na platformě Android, nicméně data nešifruje, takže se jedná o krok zpět.

V okamžiku, kdy dojde k infekci, tak je na všechny kontakty, které se nachází v adresáři telefonu rozeslána SMS zpráva s tímto textem: „Someone made a profile named [the contact’s name] and he uploaded some of your photos! is that you?“ Volně přeloženo: „Někdo si udělal profile [jméno z kontaktu] a nahrál tam tvé fotky! Jseš to ty?“ A samozřejmě následuje odkaz na onen profil, ovšem prohnaný zkracovačem na bit.ly, takže není zřejmé, kam vede.

Útočník předpokládá, že příjemce takové zprávy a navíc od člověka, kterého zná, na odkaz v SMS klikne a po přesměrování do Dropboxu, kde se nachází odkaz na stažení aplikace označené jako PhotoViewer, si ji i nainstaluje a tím se nakazí. Je vám asi jasné, že v tomto okamžiku se tento červ nejenže rozešle na všechny kontakty v adresáři, ale uzamkne i telefon a zobrazí výzvu k zaplacení 300 USD přes službu MoneyPak.

Jestli nejste pravidelným čtenářem tohoto webu ani dění na poli malwaru a obzvlášťě pak ransomware nesledujete, tak se možná ptáte, proč se jedná o krok zpět. Je tomu tak proto, že již na přelomu května a června jsme se mohli setkat se Simplockerem, prvním ransomwarem pro Android, který skutečně šifroval data uživatele, a svůj C&C server s klíči ukrýval v TORu a požadoval zaplacení výpalného ve výši 21 USD.

Záhy se však objevilo řešení v podobě aplikace, která umožnila data bezplatně dešifrovat. Chybou autora tohoto ransomwaru totiž bylo, že použil symetrickou funkci AES a heslo, které je použito pro šifrování i dešifrování, bylo uloženo přímo ve zdrojovém kódu jako konstanta. Každý, kdo si prohlédnul kód aplikace, v něm mohl snadno toto použité heslo najít.

Ve vývoji ransomware pro chytré telefony se však přesto jednalo o zlomový okamžik, protože předchozí verze ransomware nešifrovaly data, ale uzamykaly telefon. Jednalo se tedy jen o tzv. lockscreen ransomware, který „pouze“ znemožňoval používání samotného telefonu. Přesto nebylo úplně triviální se těchto ransomwarů zbavit, aniž by uživatel musel restartovat svůj telefon a nabootovat do safe módu, ale přeci jen to šlo.

To byl např. případ aplikace Android Defender detekované Symantecem, novější to verze falešného antiviru analyzovaného o nějaký ten pátek dříve Sophosem. Co je zajímavé, že na tomhle případě vidíme, jak rychle se ransomware pro smartphone, přesněji řečeno pro Android, vyvíjí.

Závěr: Doporučovaným řešením je samozřejmě stejně jako vždy, nic neplatit, protože tím podporujete jen další vývoj tohoto ransomware. V mnohých případech stačí telefon jen rebootovat a v safe módu a aplikaci normálně odinstalovat. Jindy je nutné si počkat na speciální řešení sloužící k dešifrování souborů. No a v neposlední řadě neklikat na každý odkaz v SMS a neinstalovat aplikace odjinud než z Google Play.



Pokud vás tento příspěvek zaujal, sdílejte ho!
Share on Facebook
Facebook
Share on LinkedIn
Linkedin
Tweet about this on Twitter
Twitter
Email this to someone
email
Print this page
Print

Štítky: , ,


K článku “Koler zvyšuje skóre, aneb přibyl nám další přírůstek do rodiny ransomware na platformě Android” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: