Новый Android-вымогатель обходит все существующие антивирусы






Исследователи из Zscaler ThreatLabZ проанализировали новый вариант Android-вымогателя, который на момент написания статьи обходил все существующие антивирусы, пишет Threatpost.

«Одним из векторов атак стало легитимное приложение «Одноклассники», скачанное почти 100 тыс. раз. Вызывает опасения тот факт, что вредоносный компонент может просочиться на официальный Google Play.

В течение четырех часов после заражения зловред не проявляет никаких признаков активности, чтобы не попасть на радары антивирусных программ, пока вредоносный файл не будет исполнен в системе. Как только зловред установлен, пользователь видит всплывающее уведомление о добавлении дополнительного администратора устройства.

При этом жертва не может отказаться или удалить приложение. Как только пользователь нажимает кнопку «Активировать», экран смартфона блокируется и появляется записка с требованием выкупа на русском языке. Ее текст гласит, что устройство заблокировано, а все данные зашифрованы и перенесены на сторонний сервер за «посещение, просмотр и хранение» запрещенных материалов.

Вымогатели требуют внести 500 рублей за 12 часов через терминал Qiwi, в противном же случае злоумышленники грозятся отправить всем контактам жертвы сообщение о том, что ее смартфон был заблокирован «за просмотр детского порно». Попытка разблокировать устройство без выкупа якобы приведет к удалению всех содержащихся в нем данных.

Проверив образец зловреда, аналитики, однако, не нашли свидетельств слива данных на какой-либо сервер. Кроме того, уплата выкупа не приводит к разблокированию смартфона: при блокировке смартфона командный сервер получает сообщение о новой жертве, но в его коде не предусмотрен механизм подтверждения уплаты выкупа и последующего разблокирования.

Автор зловреда использовал автоматический метод заражения легитимного приложения. Для обхода антивируса разработчик тщательно обфусцировал код, чтобы обойти как статические, так и динамические методы детектирования.

Адрес C&C-сервера зашифрован при помощи устойчивого алгоритма AES, а сам код весьма трудно понять, так как имена методов, переменных и классов объектов очень хорошо замаскированы. Большинство методов активируются при помощи техники отражения Java, чтобы обойти защитные системы, использующие статический анализ. Кроме того, в течение первых часов зловред залегает на дно, чтобы обойти методы динамического детектирования, реализованные в большинстве антивирусов.

Для того чтобы удалить блокер со смартфона, необходимо включить устройство в безопасном режиме и деактивировать администраторские привилегии у зловреда. Затем нужно удалить приложение и перезагрузить устройство в нормальном режиме.»
Автор: Softodrom.ru
Дата: 06.04.2017


» Оставьте первым свой комментарий


Новости > Безопасность > Новый Android-вымогатель обходит все существующие антивирусы
Все рубрики Новостей:
Топ-сегодня раздела Безопасность
Как Касперский звук свиньи придумал — видео
«Лаборатория Касперского» приглашает поностальгировать и вспомнить, как 20 лет назад выглядели веб-сайты
«Лаборатория Касперского» об опасности умных устройств на Linux
Специалисты «Лаборатории Касперского» провели эксперимент и настроили несколько ловушек («ханипотов»), которые имитировали различные умные устройства
Германия расширила сферу применения вредоносного ПО для слежки за пользователями мессенджеров
Власти страны получат право на онлайн-слежку через программное обеспечение на смартфонах или компьютере, используя для этого вредоносную программу
Приложения для обхода блокировок могут красть пароли от соцсетей
Вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play несколько потенциально опасных приложений
В России с начала 2017 года заблокировали более 16 тысяч «групп смерти»
МВД РФ обеспокоено так называемыми группами смерти, только с начала этого года их заблокировано в России более 16 тысяч
Новинки раздела Безопасность
«Лаборатория Касперского» об опасности умных устройств на Linux
Специалисты «Лаборатории Касперского» провели эксперимент и настроили несколько ловушек («ханипотов»), которые имитировали различные умные устройства
Как Касперский звук свиньи придумал — видео
«Лаборатория Касперского» приглашает поностальгировать и вспомнить, как 20 лет назад выглядели веб-сайты
В России с начала 2017 года заблокировали более 16 тысяч «групп смерти»
МВД РФ обеспокоено так называемыми группами смерти, только с начала этого года их заблокировано в России более 16 тысяч
ФСБ: Telegram дает террористам возможность конспиративного общения и создания «спящих ячеек»
Анализ телефонной переписки задержанных террористов показал, что они координировали свои действия и получали инструкции по шифрованным каналам мессенджера Telegram
Германия расширила сферу применения вредоносного ПО для слежки за пользователями мессенджеров
Власти страны получат право на онлайн-слежку через программное обеспечение на смартфонах или компьютере, используя для этого вредоносную программу
Copyright © 1999-2017 Softodrom.ru
О перепечатках | RSS каналы | Рассылки | Пользовательское соглашение | Политика конфиденциальности | О проекте | Карта сайта
В Опере нет автоматического способа добавить поиск по Софтодрому.
Чтобы вручную добавить поиск по Софтодрому, нужно сделать следующее:
  1. Нажать Ctrl+F12.
  2. Выбрать вкладку «Поиск».
  3. Нажать «Добавить» (Add).
  4. В появившемся окне:
    1. Заполнить название (Softodrom.ru).
    2. Заполнить адрес: https://www.softodrom.ru/Поиск/?text=%s&qs
      Если нет поля «адрес», то кликнуть на «Подробнее».
    3. Остальные поля заполнить по желанию.
  5. Нажать «ОК».