Image Source: Manteau bleu
Des chercheurs de Blue Coat ont découvert et analysé une nouvelle campagne de ransomware mobile qui cible les anciens périphériques Android et ne nécessite pas d'interaction utilisateur avant l'infection. La campagne peut être nouvelle mais le ransomware a été autour depuis 2014 - Cyber.Police.
En savoir plus sur Les attaques antérieures de Cyber.Police
Ceci est peut-être la première fois (mobile) histoire ransomware lorsqu'un ransomware est distribué sans « l'aide » du propriétaire de l'appareil.
Si aucune interaction de l'utilisateur est nécessaire, Comment est-Cyber.Police propagation?
Via annonces malveillantes dans les campagnes soi-disant publicité malveillante. Plus précisement, l'infection a lieu lorsque l'utilisateur visite un site web compromis qui a mauvais code JavaScript.
chercheur en sécurité Joshua Drake Zimperium a confirmé plus tard que le JavaScript utilisé dans l'attaque contient un exploit infiltrée 2015 lors de la tristement célèbre violation Hacking équipe. Le chercheur a également confirmé que la charge utile de l'exploitation - module.so, un exécutable ELF Linux - contient le code pour un exploit découvert fin 2014. L'exploit tire parti d'une vulnérabilité dans le libxslt bibliothèque Android.
Autres histoires sur les logiciels malveillants Android:
Acecard cheval de Troie Cibles Banques
Simple Locker Ransomware
L'exploit en question est connue sous le nom Towelroot ou futex. les chercheurs de Blue Coat se réfèrent à la charge utile que la charge utile ELF. Peu importe son nom, les téléchargements de charge utile et installe une application Android (.apk) qui est, en fait, le ransomware.
Il est également important de noter que le dispositif de laboratoire qui a été infecté par le ransomware était une tablette Samsung plus, CyanogenMod en cours d'exécution 10 version d'Android 4.2.2.
Un regard en Cyber.Police Ransomware
Comme déjà mentionné, Cyber.Police n'est pas nouveau sur la scène des logiciels malveillants, comme il a été détecté et analysé en Décembre 2014. De même que pour les autres cas de ransomware mobile, Cyber.Police ne chiffre pas en fait des fichiers, il ne verrouille l'écran de l'appareil. Au lieu du paiement classique Bitcoins, les cyber-criminels exigent la victime d'acheter deux codes de cartes-cadeaux iTunes d'Apple au prix de $100 chaque.
chercheurs Blue Coat a également observé le trafic non chiffré de leur appareil infecté à une commande & serveur de contrôle. Ce trafic a été capturé en provenance d'autres 224 appareils Android. Les versions Android ont également été identifiés - entre la version 4.0.3 et 4.4.4.
Un autre détail au sujet de l'attaque est à noter que certains de ces 224 les appareils ne sont pas sujettes à l'Hacking spécifique d'équipe libxlst exploiter, ce qui signifie que d'autres exploits peuvent avoir été utilisés.
Comment peut Cyber.Police Être supprimé?
La seule chose qu'un utilisateur infecté doit faire est de réinitialiser leur appareil aux réglages d'usine. Comme avec ransomware de bureau, Les utilisateurs doivent également penser à la sauvegarde des données sur leurs appareils. chercheurs Blue Coat conseils aussi sur «en utilisant un plus à jour navigateur que l'application du navigateur intégré fourni avec les appareils Android 4.x".
Si vous avez perdu vos fichiers, vous pouvez essayer d'utiliser un programme de récupération tels que Récupération de données Android par Pro Tenorshare.