Новый Android-вымогатель обходит все существующие антивирусы






Исследователи из Zscaler ThreatLabZ проанализировали новый вариант Android-вымогателя, который на момент написания статьи обходил все существующие антивирусы, пишет Threatpost.

«Одним из векторов атак стало легитимное приложение «Одноклассники», скачанное почти 100 тыс. раз. Вызывает опасения тот факт, что вредоносный компонент может просочиться на официальный Google Play.

В течение четырех часов после заражения зловред не проявляет никаких признаков активности, чтобы не попасть на радары антивирусных программ, пока вредоносный файл не будет исполнен в системе. Как только зловред установлен, пользователь видит всплывающее уведомление о добавлении дополнительного администратора устройства.

При этом жертва не может отказаться или удалить приложение. Как только пользователь нажимает кнопку «Активировать», экран смартфона блокируется и появляется записка с требованием выкупа на русском языке. Ее текст гласит, что устройство заблокировано, а все данные зашифрованы и перенесены на сторонний сервер за «посещение, просмотр и хранение» запрещенных материалов.

Вымогатели требуют внести 500 рублей за 12 часов через терминал Qiwi, в противном же случае злоумышленники грозятся отправить всем контактам жертвы сообщение о том, что ее смартфон был заблокирован «за просмотр детского порно». Попытка разблокировать устройство без выкупа якобы приведет к удалению всех содержащихся в нем данных.

Проверив образец зловреда, аналитики, однако, не нашли свидетельств слива данных на какой-либо сервер. Кроме того, уплата выкупа не приводит к разблокированию смартфона: при блокировке смартфона командный сервер получает сообщение о новой жертве, но в его коде не предусмотрен механизм подтверждения уплаты выкупа и последующего разблокирования.

Автор зловреда использовал автоматический метод заражения легитимного приложения. Для обхода антивируса разработчик тщательно обфусцировал код, чтобы обойти как статические, так и динамические методы детектирования.

Адрес C&C-сервера зашифрован при помощи устойчивого алгоритма AES, а сам код весьма трудно понять, так как имена методов, переменных и классов объектов очень хорошо замаскированы. Большинство методов активируются при помощи техники отражения Java, чтобы обойти защитные системы, использующие статический анализ. Кроме того, в течение первых часов зловред залегает на дно, чтобы обойти методы динамического детектирования, реализованные в большинстве антивирусов.

Для того чтобы удалить блокер со смартфона, необходимо включить устройство в безопасном режиме и деактивировать администраторские привилегии у зловреда. Затем нужно удалить приложение и перезагрузить устройство в нормальном режиме.»

Автор: Softodrom.ru
Дата:


» Оставьте первым свой комментарий


Новости > Безопасность > Новый Android-вымогатель обходит все существующие антивирусы
Все рубрики статей:
Топ-сегодня: Безопасность
СБУ обвинила Россию в подготовке кибератаки на Украину
Код VPNFilter похож на код вирусов, которые разработали хакеры из BlackEnergy, которым приписывается авторство вируса Petya и его модификаций, использовавшихся для атаки на множество объектов критической инфраструктуры
Математик Богатов может понести административную ответственность за незаконное использование браузера Tor
Арест Дмитрия Богатова вызвал большой резонанс в том числе среди сторонников свободного программного обеспечения
Закрыта критическая уязвимость двенадцати ОС
Во всех популярных операционных системах, разработанных под чипсеты Intel и AMD, обнаружена критическая уязвимость
Как узнать емейл человека?
На этот раз мы обсудим проблему приватности и безопасности применительно к задаче поиска адреса электронной почты нужного нам человека
Как удалить данные без возможности восстановления
Что такое безвозвратное удаление данных, и как удалить данные с компьютера так, чтобы их нельзя было восстановить
Новые статьи: Безопасность
СБУ обвинила Россию в подготовке кибератаки на Украину
Код VPNFilter похож на код вирусов, которые разработали хакеры из BlackEnergy, которым приписывается авторство вируса Petya и его модификаций, использовавшихся для атаки на множество объектов критической инфраструктуры
Математик Богатов может понести административную ответственность за незаконное использование браузера Tor
Арест Дмитрия Богатова вызвал большой резонанс в том числе среди сторонников свободного программного обеспечения
В Томской области осужден хакер
В ходе следствия обвиняемый полностью признал свою вину и ходатайствовал о проведении судебного разбирательства и вынесении ему приговора в особом порядке
Трояны стали самой распространенной угрозой в первом квартале 2018 года
Лидером среди мобильных угроз стали дропперы, тогда как среди веб-угроз главенствуют банкеры и шифровальщики
В США хотят запретить требовать внедрение бэкдоров в ПО
В Конгресс США в очередной раз внесли законопроект о защите данных

Статистика | Рейтинги | Авторам | Реклама
Copyright © 1999-2018 Softodrom.ru
О перепечатках | Рассылки | Пользовательское соглашение | Политика конфиденциальности | О проекте | Карта сайта
В Опере нет автоматического способа добавить поиск по Софтодрому.
Чтобы вручную добавить поиск по Софтодрому, нужно сделать следующее:
  1. Нажать Ctrl+F12.
  2. Выбрать вкладку «Поиск».
  3. Нажать «Добавить» (Add).
  4. В появившемся окне:
    1. Заполнить название (Softodrom.ru).
    2. Заполнить адрес: https://www.softodrom.ru/Поиск/?text=%s&qs
      Если нет поля «адрес», то кликнуть на «Подробнее».
    3. Остальные поля заполнить по желанию.
  5. Нажать «ОК».