Новый Android-вымогатель обходит все существующие антивирусы




Исследователи из Zscaler ThreatLabZ проанализировали новый вариант Android-вымогателя, который на момент написания статьи обходил все существующие антивирусы, пишет Threatpost.

«Одним из векторов атак стало легитимное приложение «Одноклассники», скачанное почти 100 тыс. раз. Вызывает опасения тот факт, что вредоносный компонент может просочиться на официальный Google Play.

В течение четырех часов после заражения зловред не проявляет никаких признаков активности, чтобы не попасть на радары антивирусных программ, пока вредоносный файл не будет исполнен в системе. Как только зловред установлен, пользователь видит всплывающее уведомление о добавлении дополнительного администратора устройства.

При этом жертва не может отказаться или удалить приложение. Как только пользователь нажимает кнопку «Активировать», экран смартфона блокируется и появляется записка с требованием выкупа на русском языке. Ее текст гласит, что устройство заблокировано, а все данные зашифрованы и перенесены на сторонний сервер за «посещение, просмотр и хранение» запрещенных материалов.

Вымогатели требуют внести 500 рублей за 12 часов через терминал Qiwi, в противном же случае злоумышленники грозятся отправить всем контактам жертвы сообщение о том, что ее смартфон был заблокирован «за просмотр детского порно». Попытка разблокировать устройство без выкупа якобы приведет к удалению всех содержащихся в нем данных.

Проверив образец зловреда, аналитики, однако, не нашли свидетельств слива данных на какой-либо сервер. Кроме того, уплата выкупа не приводит к разблокированию смартфона: при блокировке смартфона командный сервер получает сообщение о новой жертве, но в его коде не предусмотрен механизм подтверждения уплаты выкупа и последующего разблокирования.

Автор зловреда использовал автоматический метод заражения легитимного приложения. Для обхода антивируса разработчик тщательно обфусцировал код, чтобы обойти как статические, так и динамические методы детектирования.

Адрес C&C-сервера зашифрован при помощи устойчивого алгоритма AES, а сам код весьма трудно понять, так как имена методов, переменных и классов объектов очень хорошо замаскированы. Большинство методов активируются при помощи техники отражения Java, чтобы обойти защитные системы, использующие статический анализ. Кроме того, в течение первых часов зловред залегает на дно, чтобы обойти методы динамического детектирования, реализованные в большинстве антивирусов.

Для того чтобы удалить блокер со смартфона, необходимо включить устройство в безопасном режиме и деактивировать администраторские привилегии у зловреда. Затем нужно удалить приложение и перезагрузить устройство в нормальном режиме.»
Автор: Softodrom.ru
Дата: 06.04.2017


» Оставьте первым свой комментарий

Новости > Безопасность > Новый Android-вымогатель обходит все существующие антивирусы
Все рубрики Новостей:
Топ-сегодня раздела Безопасность
Минобороны РФ ищет специалистов по реверс-инжинирингу
Центр специальных разработок Министерства обороны РФ ищет инженеров по анализу исходного кода
В Android обнаружена смишинговая уязвимость
Уязвимость касается всех версий Android, включая Jelly Bean, Ice Cream Sandwich, Froyo и Gingerbread
Пентагон увеличит штат кибервойск в пять раз
В настоящее время кибервойска Пентагона насчитывают около 900 сотрудников
В 2006 году Internet Explorer был уязвим 284 дня
Из них в течение 98 дней патчи для существовавших уязвимостей вообще отсутствовали, поскольку Microsoft не успевала их выпустить
Новинки раздела Безопасность
Вопросы безопасности при использовании VPN
У пользователей возникают заблуждения, которые не отражают реального положения дел
В московском метро объявили воздушную тревогу
В социальных сетях москвичи начали сообщать о том, что в метрополитене звучат оповещения о воздушной тревоге и предупреждения, что все эскалаторы работают только на спуск
Интернет-трафик десятков зарубежных компаний подвергся вмешательству в России
Большие массивы сетевого трафика были направлены через контролируемый российским правительством телекоммуникационный канал
Российский разработчик ПО «Стахановец» опроверг заявление СБУ о «шпионском» функционале
Заявление Службы безопасности Украины о наличии «шпионского» функционала у российского программного комплекса «Стахановец» и передаче данных ФСБ России не соответствует действительности
СБУ заявила об использовании российского шпионского ПО украинскими компаниями
Служба безопасности Украины заявила, что восемь украинских компаний использовали и продавали «запрещенное шпионское программное обеспечение российского производства»
Copyright © 1999-2017 Softodrom.ru
О перепечатках | RSS каналы | Рассылки | Пользовательское соглашение | Политика конфиденциальности | О проекте | Карта сайта
В Опере нет автоматического способа добавить поиск по Софтодрому.
Чтобы вручную добавить поиск по Софтодрому, нужно сделать следующее:
  1. Нажать Ctrl+F12.
  2. Выбрать вкладку «Поиск».
  3. Нажать «Добавить» (Add).
  4. В появившемся окне:
    1. Заполнить название (Softodrom.ru).
    2. Заполнить адрес: https://www.softodrom.ru/Поиск/?text=%s&qs
      Если нет поля «адрес», то кликнуть на «Подробнее».
    3. Остальные поля заполнить по желанию.
  5. Нажать «ОК».