Новый Android-вымогатель обходит все существующие антивирусы






Исследователи из Zscaler ThreatLabZ проанализировали новый вариант Android-вымогателя, который на момент написания статьи обходил все существующие антивирусы, пишет Threatpost.

«Одним из векторов атак стало легитимное приложение «Одноклассники», скачанное почти 100 тыс. раз. Вызывает опасения тот факт, что вредоносный компонент может просочиться на официальный Google Play.

В течение четырех часов после заражения зловред не проявляет никаких признаков активности, чтобы не попасть на радары антивирусных программ, пока вредоносный файл не будет исполнен в системе. Как только зловред установлен, пользователь видит всплывающее уведомление о добавлении дополнительного администратора устройства.

При этом жертва не может отказаться или удалить приложение. Как только пользователь нажимает кнопку «Активировать», экран смартфона блокируется и появляется записка с требованием выкупа на русском языке. Ее текст гласит, что устройство заблокировано, а все данные зашифрованы и перенесены на сторонний сервер за «посещение, просмотр и хранение» запрещенных материалов.

Вымогатели требуют внести 500 рублей за 12 часов через терминал Qiwi, в противном же случае злоумышленники грозятся отправить всем контактам жертвы сообщение о том, что ее смартфон был заблокирован «за просмотр детского порно». Попытка разблокировать устройство без выкупа якобы приведет к удалению всех содержащихся в нем данных.

Проверив образец зловреда, аналитики, однако, не нашли свидетельств слива данных на какой-либо сервер. Кроме того, уплата выкупа не приводит к разблокированию смартфона: при блокировке смартфона командный сервер получает сообщение о новой жертве, но в его коде не предусмотрен механизм подтверждения уплаты выкупа и последующего разблокирования.

Автор зловреда использовал автоматический метод заражения легитимного приложения. Для обхода антивируса разработчик тщательно обфусцировал код, чтобы обойти как статические, так и динамические методы детектирования.

Адрес C&C-сервера зашифрован при помощи устойчивого алгоритма AES, а сам код весьма трудно понять, так как имена методов, переменных и классов объектов очень хорошо замаскированы. Большинство методов активируются при помощи техники отражения Java, чтобы обойти защитные системы, использующие статический анализ. Кроме того, в течение первых часов зловред залегает на дно, чтобы обойти методы динамического детектирования, реализованные в большинстве антивирусов.

Для того чтобы удалить блокер со смартфона, необходимо включить устройство в безопасном режиме и деактивировать администраторские привилегии у зловреда. Затем нужно удалить приложение и перезагрузить устройство в нормальном режиме.»

Автор: Softodrom.ru
Дата:


» Оставьте первым свой комментарий


Новости > Безопасность > Новый Android-вымогатель обходит все существующие антивирусы
Все рубрики статей:
Топ-сегодня: Безопасность
Из Google Play удалены 22 приложения, зараженные LightsOut
Согласно статистике Google Play, зараженные программы были совокупно скачаны от 1,5 млн до 7,5 млн раз
Вирус WannaCry: ссылки для загрузки патча
Microsoft выпустила патч для Windows 10, Windows 8, Windows 7, Windows XP и серверных систем
Банкомат случайно выдал миллион рублей жителю Ростова-на-Дону
Полицейские задержали 29-летнего ростовчанина
Минобороны РФ ищет специалистов по реверс-инжинирингу
Центр специальных разработок Министерства обороны РФ ищет инженеров по анализу исходного кода
Вирус Bad Rabbit атаковал российские СМИ
Bad Rabbit может сравниться по масштабам с вирусами-шифровальщиками WannaCry и Petya, эпидемии которых были зафиксированы ранее
Новые статьи: Безопасность
Из Google Play удалены 22 приложения, зараженные LightsOut
Согласно статистике Google Play, зараженные программы были совокупно скачаны от 1,5 млн до 7,5 млн раз
С 1 января вводится уголовная ответственность за создание программ для кибератак на РФ
С 1 января 2018 года в России вводится уголовная ответственность за киберпреступления в отношении критической информационной инфраструктуры страны
В Верховный суд поступил иск Telegram против ФСБ
Верховный суд РФ зарегистрировал иск руководства мессенджера Telegram о признании недействующим приказа ФСБ РФ, который устанавливает процедуру предоставления ведомству ключей для расшифровки сообщений пользователей
Российский хакер обвинил ФСБ в создании вирусов Lurk и Wanna Cry
Для тестирования вирусов использовались компьютерные системы «Роснефти», «Газпрома», ЛУКОЙЛа и «Сбербанка»
Мобильные криптокошельки оказались ненадежными
Эксперты исследовали уровень безопасности популярных мобильных кошельков для криптовалют

Статистика | Рейтинги | Авторам | Реклама
Copyright © 1999-2018 Softodrom.ru
О перепечатках | Рассылки | Пользовательское соглашение | Политика конфиденциальности | О проекте | Карта сайта
В Опере нет автоматического способа добавить поиск по Софтодрому.
Чтобы вручную добавить поиск по Софтодрому, нужно сделать следующее:
  1. Нажать Ctrl+F12.
  2. Выбрать вкладку «Поиск».
  3. Нажать «Добавить» (Add).
  4. В появившемся окне:
    1. Заполнить название (Softodrom.ru).
    2. Заполнить адрес: https://www.softodrom.ru/Поиск/?text=%s&qs
      Если нет поля «адрес», то кликнуть на «Подробнее».
    3. Остальные поля заполнить по желанию.
  5. Нажать «ОК».