Image Source: Blauwe jas
Onderzoekers van Blue Coat hebben ontdekt en geanalyseerd een nieuwe mobiele ransomware campagne dat oudere Android-apparaten is gericht en geen interactie van de gebruiker voorafgaand aan de infectie vereisen. De campagne kan roman, maar de ransomware is al sinds geweest 2014 - Cyber.Police.
Leer meer over Cyber.Police's Vorige Attacks
Dit is misschien wel de eerste keer in (mobiel) ransomware geschiedenis toen een ransomware wordt verspreid zonder de “hulp” van de eigenaar van het apparaat.
Als geen interactie van de gebruiker nodig, Hoe is Cyber.Police Spread?
Via kwaadaardige advertenties in de zogenaamde malvertising campagnes. Specifieker, de infectie vindt plaats wanneer de gebruiker een gecompromitteerde website zo slecht JavaScript-code heeft bezoekt.
Zimperium's security-onderzoeker Joshua Drake later bevestigd dat de JavaScript gebruikt in de aanval bevat een exploit gelekt in 2015 tijdens de beruchte Hacking Team schending. De onderzoeker bevestigde ook dat de exploit de payload - module.so, een Linux ELF executable - bevat de code voor een exploit laat ontdekt 2014. De exploit maakt gebruik van een zwakke in het libxslt Android bibliotheek.
Other Stories op Android Malware:
Acecard Trojan Doelen Banks
Eenvoudige Locker Ransomware
Het benutten kwestie heet Towelroot of futex. Blue Coat onderzoekers verwijzen naar de payload als ELF payload. Het maakt niet uit van zijn naam, de payload downloadt en installeert een Android-applicatie (.apk) dat, in feite, de ransomware.
Het is ook belangrijk op te merken dat het lab apparaat dat is besmet met het ransomware was een oudere Samsung-tablet, running CyanogenMod 10 versie van Android 4.2.2.
Een kijkje in Cyber.Police Ransomware
Zoals reeds gezegd, Cyber.Police is niet nieuw voor de malware scene, als het voor het eerst werd ontdekt en in december geanalyseerd 2014. Overeenkomstig aan andere mobiele ransomware cases, Cyber.Police niet daadwerkelijk bestanden te versleutelen, het vergrendelt alleen scherm van het apparaat. In plaats van de klassieke betaling in Bitcoins, cybercriminelen eisen van het slachtoffer tot twee Apple iTunes Gift Card codes te kopen tegen de prijs van $100 elk.
Blue Coat onderzoekers zagen ook ongecodeerde verkeer uit hun besmette apparaat om een opdracht & control server. Dergelijke verkeer werd gevangen uit andere 224 Android-apparaten. De Android-versies werden ook geïdentificeerd - tussen versie 4.0.3 en 4.4.4.
Een ander detail over de aanval vermelden waard is dat een aantal van deze 224 apparaten waren niet gevoelig voor de specifieke Hacking Team libxlst exploiteren, Dit betekent dat andere exploits zijn gebruikt.
Hoe kan Cyber.Police worden verwijderd?
Het enige wat een geïnfecteerde gebruiker moet doen is teruggezet hun apparaat naar de fabrieksinstellingen. Zoals met desktop ransomware, gebruikers moeten ook denken aan een back-up van de gegevens op hun apparaten. Blue Coat onderzoekers adviseren ook over “met behulp van een meer up-to-date browser dan de ingebouwde browser app opgenomen met Android 4.x-apparaten".
In het geval dat u uw bestanden kwijt, kunt u proberen met behulp van een recovery programma zoals Android Data Recovery Pro door Tenorshare.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: