↑ ↓

Информация Porn ‘O’ Mania

Вирус-блокер для Андройда

  1. X-Shar
    i.

    Специалисты компании Symantec обнаружили нового блокировкщика Android.Lockdroid.E. Малварь распространяется вместе с приложениями для взрослых и не просто блокирует экран устройства, требуя выкуп, но и угрожает в случае неуплаты разослать историю браузера всему списку контактов жертвы.

    Вымогательское ПО распространяется в составе приложения «Porn ‘O’ Mania», которое можно найти только в сторонних, неофициальных магазинах контента. Сообщается, что пользователи Google Play Store в безопасности.

    Наиболее интересной особенностью локера являются методы, которые он применяет, чтобы обвести пользователя вокруг пальца и заставить его установить вредоносное приложение. Так как установка любого приложения должна быть вручную одобрена владельцем устройства, малварь в последнее время идет на самые разные хитрости.

    На начальном этапе установки Android.Lockdroid.E использует стандартные приемы: притворяется безобидным приложением, использует фальшивые сообщения, где описание не соответствует действительности.

    Если жертва поверила и начала установку, вредонос переходит к следующей фазе: применяет технику clickjacking. Поверх модального окна, в котором приложение запрашивает привилегии администратора, выводится еще один popup.

    Второе окно, которое и видит пользователь, на самом деле является сообщением об ошибке (TYPE_SYSTEM_ERROR). Старые версии Android позволяют отобразить ошибку поверх всех окон и даже поверх окна, запрашивающего разрешения для приложения.

    Но это сообщение об ошибке выглядит как экран установки приложения, который сообщает жертве, что установка уже началась и нужно немного подождать. Затем текст меняется, появляется сообщение о том, что установка приложения успешно завершена, а также кнопка «Continue».

    Figure_3_0.

    Фальшивое сообщение об установке приложения

    Эта фейковая кнопка «Продолжить» располагается точно поверх первого окна, запрашивающего привилегии администратора и кнопки «Activate». Как только жертва нажимает «Продолжить», одновременно происходит нажатие фоновой кнопки «Activate», и вредоносное приложение получает максимальные права в системе.

    figure-3-concept.

    Получив доступ к системе, локер начинает зашифровывать файлы пользователя, а также собирает данные о его списке контактов. Как только шифрование окончено, малварь блокирует устройство, выводя на весь экран сообщение с требованием выкупа. Чтобы требование выглядело убедительнее, Android.Lockdroid.E угрожает разослать историю браузера жертвы всем ее контактам. Похожую тактику ранее использовал вымогатель Chimera, угрожавший опубликовать все личные файлы жертв в сети.

    Новый локер представляет опасность для пользователей, чьи устройства работают на базе Android ниже версии 5.0 (Lollipop). Дело в том, что именно в пятой версии была отключена возможность выводить popup поверх окна инсталляции приложений. К сожалению, старые версии Android до сих пор используют порядка 2/3 всех устройств в мире.

    Изображения

    1. Figure_3_0.png
    2. figure-3-concept.jpg
    Smouk, NIN@ и Антоха нравится это.