Hjem > Ransomware > Android Ransomware Gets Smarter, Unddrager AV Detection
CYBER NEWS

Android Ransomware Gets Smartere, Unddrager AV Detection

Ny Android-ransomware er blevet opdaget, og tilsyneladende ingen mobil antivirus program har været i stand til at opdage det. Den ransomware blev opdaget i et populært app kaldet ”OK”, en russisk-baserede underholdning sociale netværk app tilgængelig i Google Play butik. Interessant, app i denne officielle butik er helt ren og app har mellem 50 og 100 million installationer. Den app i tredjeparts app stores, dog, er ikke.

Relaterede: Den første mobile Doxware Ransomware App til Android

Zscaler forskere sige at Android malware forbliver tavs i de første fire timer efter installationen, således at den oprindelige app til at fungere uden afbrydelser. Denne fremgangsmåde tillader ransomware til bypass påvisning ved AV motorer. Når de fire timer er over, brugere vil blive vist en prompt for at tilføje en enhed admin. Dette gør det muligt, at appen kan ændre skærmens adgangskode til oplåsning, overvåge skærm-låse forsøg, låse skærmen og sætte lock-screen adgangskode udløb.

Desværre, trykke på knappen Annuller hjælper ikke som prompten hurtigt dukker op igen, hvilket forhindrer brugeren fra enhver handling, afinstallere den app inklusive. Endvidere, ved at trykke på knappen Aktiver skærmen bliver låst, og en fuld skærm løsepenge notat vises.

Forskerne analyserede ransomware at gøre sikker på, om det sender offerets data til en server. De fandt ikke nogen personlige data lækage ifølge den løsesum notat. Desuden, den ransomware viste sig ude af stand til at frigøre brugerens telefon.

Uanset om brugeren overfører den ønskede løsesum beløb til hackerens e-wallet, den ransomware vil ikke stoppe driften. Så snart telefonens skærm er låst, malware vil meddele sin Kommando & Kontrol (C&C) server om det nye offer. Interessant, der er ingen funktionalitet til stede i malware for at bekræfte, om brugeren har betalt løsesummen eller ej, og det, derfor, fortsætter med at fungere.

Hvordan virker det Ransomware Unddrage AV Detection?

Efter forskerne analyserede hvordan ren apps såsom det russiske OK app blev smittet, de indså, at truslen forfatteren har skabt en automatiseret metode til at inficere flere apps gennem den samme metode.

Kort sagt, de fleste AV-motorer udføre prøver i et par sekunder eller minutter at opdage skadelig adfærd i forbindelse med en app. I dette tilfælde, den ransomware viste ikke sin tilstedeværelse i fire timer. På denne måde, malware forfatter unddragne den dynamiske analyse af antivirus-systemer. ”I betragtning af de stealth taktik designet ind i denne prøve, Det ville ikke være svært at forestille sig forfatteren held uploade denne ransomware til Google Play Store”, forskere tilføje.

Relaterede: Android App Tilladelser og din (af telefonens) Privatliv

Mitigation

Inficerede brugere bør starte deres enheder i fejlsikret tilstand, denne måde invaliderende tredjepartsprogrammer. Så skal de fjerne enheden admin privilegium den inficerede app, afinstallere app og re-boot enheden tilbage til normal tilstand.

Sikkerhed tip: For at minimere risikoen for sådanne infektioner, gå til Sikkerhedsindstillinger / Device administration og de-vælge ”Ukendte kilder”.

Milena Dimitrova

Milena Dimitrova

En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim

Flere indlæg

Følg mig:
Twitter

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

Frist er opbrugt. Venligst genindlæse CAPTCHA.