Перейти к содержимому
1
1
1
1
1
RabbitRun

Android-вымогатель маскируется под приложение «Одноклассники» и обходит все антивирусы

Recommended Posts

В официальном блоге специалисты компании Zscaler сообщают, что недавно их внимание привлекло вымогательское приложение, замаскированное под официальное приложение социальной сети «Одноклассники». Хотя исследователи обнаружили вредоноса не в Google Play, они пишут, что малвари, скорее всего, не составит труда проникнуть и в официальный каталог приложений.

Поначалу вредонос ведет себя так же, как недавно обнаруженные в Google Play семейства рекламной малвари: на протяжении примерно четырех часов после загрузки и установки вредонос не подает никаких признаков «жизни» и не делает ничего подозрительного. Затем малварь запрашивает у пользователя права администратора.

 

image_1490790141-540x900.png

Даже если жертва нажмет кнопку Cancel, окно сразу же появится снова, не давая пользователю предпринять какие-либо действия и, например, удалить приложение. Как только пользователь сдастся и выдаст приложению нужные права, на экране устройства появится сообщение следующего содержания, а девайс блокируется.

image_1490794031-1040x847.png

Исследователи Zscaler пишут, что никакой утечки пользовательских данных, судя по всему, не происходит, невзирая на все угрозы операторов вредоноса. После заражения малварь действительно сообщает о новой жертве управляющему серверу, но на этом ее активность фактически заканчивается. Хуже того, исследователи установили, что вредонос не способен прекратить работу и разблокировать устройство после уплаты выкупа. Малварь даже не способна подтвердить, заплатила жертва выкуп или же нет.

image_1490796708-1040x363.png Вредонос информирует сервер о новом заражении

Решив разобраться в проблеме детальнее, специалисты изучили приложение внимательнее и пришли к выводу, что операторы этой вредоносной кампании не занимаются заражением популярных приложений вручную. Злоумышленники автоматизировали данный процесс и собирают вредоносные версии приложений пачками.

Более того, по словам исследователей, данная угроза использует множество способов маскировки, стремясь избежать обнаружения антивирусными продуктами. Так, все вредоносные инжекты, внедренные в код легитимных приложений, серьезно обфусцированы, а адрес управляющего сервера злоумышленников и номер телефона, использующийся ими для получения выкупов, зашифрованы с использованием AES.

image_1490800863.png Обфусцированный код

Специалисты пишут, что разобраться в коде злоумышленников очень тяжело, а применение ими вышеописанных практик и техники Java reflection позволяют избегать статического обнаружения. Динамические проверки тоже дают «осечку», так как малварь в течение нескольких часов не проявляет никакой активности. Специалисты убеждены, что в совокупности все это позволит злоумышленникам без труда загрузить своих вредоносов в Google Play, минуя проверки официального каталога.

Исследователи напоминают, что приложения все же стоит загружать только из доверенных источников. Пострадавшим они советуют перезагрузить девайс в Safe Mode, отозвать привилегии администратора у вредоносного приложения и после этого удалить малварь с устройства.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Однажды ловил уже нечто подобное, почему после нажатия кнопки cansel возможно что она опять тут же появляется?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
18 часов назад, Ilyashiss сказал:

Однажды ловил уже нечто подобное, почему после нажатия кнопки cansel возможно что она опять тут же появляется?

Тоже интересно, ведь это явно вирус.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
В 4/4/2017 в 09:17, Ilyashiss сказал:

Однажды ловил уже нечто подобное, почему после нажатия кнопки cansel возможно что она опять тут же появляется?

Андройд уязвимая штука и изменить это не могут в виду ряда проблем мобильной платформы иначе уже давно бы сделали.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
В 08.04.2017 в 19:52, Enrico сказал:

Каждый же знает как делать сброс до заводских настроек, смысл от баннера?

Допустим я не знаю и скорее всего пришлось бы идти в сервис снимать баннер.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас

×
×
  • Создать...