image Source: Casaco azul
Pesquisadores da Blue Coat descobriram e analisaram uma nova campanha de ransomware móvel que visa dispositivos Android mais antigos e não requer interação do usuário antes da infecção. A campanha pode ser nova, mas o ransomware existe desde 2014 - Cyber.Police.
Aprender mais sobre Ataques anteriores da Cyber.Police
Esta é talvez a primeira vez em (Móvel) histórico de ransomware quando um ransomware é distribuído sem a "ajuda" do proprietário do dispositivo.
Se nenhuma interação do usuário for necessária, Como o Cyber.Police se espalha?
Por meio de anúncios maliciosos nas chamadas campanhas de malvertising. Mais especificamente, a infecção ocorre quando o usuário visita um site comprometido com código JavaScript inválido.
O pesquisador de segurança da Zimperium, Joshua Drake, confirmou posteriormente que o JavaScript usado no ataque contém um exploit que vazou em 2015 durante a infame violação da Equipe de Hacking. O pesquisador também confirmou que a carga útil do exploit - module.so, um executável ELF do Linux - contém o código para um exploit descoberto tarde 2014. A exploração tira proveito de uma vulnerabilidade no libxslt Biblioteca Android.
Outras histórias sobre malware Android:
Acecard Trojan Targets Banks
Simple Locker Ransomware
A exploração em questão é conhecida como Towelroot ou futex. Os pesquisadores da Blue Coat referem-se à carga útil como a carga útil ELF. Não importa o nome, a carga útil baixa e instala um aplicativo Android (.apk) qual é, de fato, o ransomware.
Também é importante observar que o dispositivo de laboratório infectado pelo ransomware era um tablet Samsung mais antigo, executando Cyanogenmod 10 versão do Android 4.2.2.
Uma olhada no Cyber.Police ransomware
Como já mencionado, Cyber.Police não é novo na cena do malware, como foi detectado e analisado pela primeira vez em dezembro 2014. Semelhante a outros casos de ransomware móvel, Cyber.Police, na verdade, não criptografa arquivos, ele apenas bloqueia a tela do dispositivo. Em vez do pagamento clássico em Bitcoins, os cibercriminosos exigem que a vítima compre dois códigos de vale-presente do iTunes da Apple ao preço de $100 cada.
Os pesquisadores da Blue Coat também observaram o tráfego não criptografado de seu dispositivo infectado para um comando & servidor de controle. Esse tráfego foi capturado vindo de outro 224 dispositivos Android. As versões do Android também foram identificadas - entre as versões 4.0.3 e 4.4.4.
Outro detalhe sobre o ataque que vale a pena mencionar é que alguns daqueles 224 dispositivos não eram propensos à equipe de hackers específica libxlst explorar, o que significa que outros exploits podem ter sido usados.
Como o Cyber.Police pode ser removido?
A única coisa que um usuário infectado deve fazer é redefinir o dispositivo para as configurações de fábrica. Tal como acontece com ransomware de desktop, os usuários também devem pensar em fazer backup dos dados em seus dispositivos. Os pesquisadores da Blue Coat também aconselham sobre “usando um navegador mais atualizado do que o aplicativo de navegador integrado incluído nos dispositivos Android 4.x”.
Caso você tenha perdido seus arquivos, você pode tentar usar um programa de recuperação como Android Data Recovery Pro da Tenorshare.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: