Image Source: blue Coat
Forskere ved Blue Coat har opdaget og analyseret en ny mobil ransomware kampagne, der er målrettet ældre Android-enheder og kræver ikke brugerinteraktion forud for infektion. Kampagnen kan være roman, men den ransomware har eksisteret siden 2014 - Cyber.Police.
Lær mere om Cyber.Police s tidligere angreb
Dette er måske første gang i (mobil) ransomware historie, da en ransomware distribueres uden ”hjælp” af enhedens ejer.
Hvis Ingen brugerinteraktion Needed, Hvordan er Cyber.Police Spread?
Via ondsindede annoncer i de såkaldte malvertising kampagner. Mere specifikt, infektionen finder sted, når brugeren besøger en kompromitteret hjemmeside, der har dårlig JavaScript-kode.
Zimperium sikkerhed forsker Joshua Drake senere bekræftet, at JavaScript brugt i angrebet indeholder en udnytte lækket i 2015 under den berygtede Hacking Team brud. Forskeren bekræftede også, at udnytte nyttelast - module.so, en Linux ELF eksekverbar - indeholder koden for en udnytte opdaget sent 2014. Den udnytter drager fordel af en svaghed i libxslt Android bibliotek.
Andre historier på Android Malware:
Acecard Trojan Mål Banker
Simple Locker Ransomware
Exploit pågældende er kendt som Towelroot eller futex. Blue Coat forskere refererer til nyttelasten som ELF nyttelast. Ligegyldigt om sit navn, payload downloader og installerer en Android applikation (.APK) som er, faktisk, den ransomware.
Det er også vigtigt at bemærke, at laboratoriet anordning, som blev smittet med ransomware var en ældre Samsung tablet, kører Cyanogenmod 10 version af Android 4.2.2.
Et kig ind i Cyber.Police Ransomware
Som allerede nævnt, Cyber.Police er ikke nyt for malware scene, da det først blev opdaget og analyseret i december 2014. Samme måde som andre mobile ransomware sager, Cyber.Police faktisk ikke kryptere filer, det låser kun enhedens skærm. I stedet for den klassiske betaling i Bitcoins, cyberkriminelle kræve offeret til at købe to Apple iTunes-gavekort-koder til en pris af $100 hver.
Blue Coat forskere også observeret ukrypteret trafik fra deres inficeret enhed til en kommando & kontrol-server. En sådan trafik blev fanget kommer fra andre 224 Android-enheder. De Android versioner blev også identificeret - mellem versionen 4.0.3 og 4.4.4.
En anden detaljer om angrebet værd at nævne er, at nogle af dem, 224 enheder var ikke tilbøjelig til det specifikke Hacking Team libxlst udnytte, hvilket betyder, at andre exploits kan have været anvendt.
Hvordan kan Cyber.Police Be Fjernet?
Det eneste, en inficeret bruger skal gøre, er at nulstille deres enhed til fabriksindstillinger. Som med desktop ransomware, brugere bør også tænke på at sikkerhedskopiere dataene på deres enheder. Blue Coat forskere også rådgive om ”ved hjælp af en mere up-to-date browser end den indbyggede browser app følger med Android 4.x-enheder".
Hvis du har mistet dine filer, du kan prøve at bruge et opsving program som Android Data Recovery Pro ved Tenorshare.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: