Napakowane złośliwym kodem ransomware Charger przeniknęło do Google Play
Niejednokrotnie już wspominaliśmy o złośliwym oprogramowaniu wsklepie Play – zwykle jednak były to proste aplikacje phishingowe,które obiecując rozrywkę czy dodatkowe funkcjonalności dlapopularnych portali społecznościowych wykradały jakieś daneużytkownika. Charger – odkryter przez badaczy Check Pointzagrożenie – wygląda jednak znacznie ciekawiej, dowodząc żetwórcy mobilnego malware próbują stworzyć coś, co dorównaszkodnikom grasującym na Windowsie. Swoją złośliwą działalnośćukrywa bardzo przebiegle, na wszelkiego rodzaju emulatorach nieodkryjemy, że coś jest nie tak.
Większość szkodników na Androida to droppery – same w sobiewolne od złośliwego kodu, dopiero po zainstalowaniu na urządzeniuużytkownika pobierają ze zdalnych źródeł bojowy ładunek.Charger jednak jest całkowicie samodzielny. Jego twórcy zastosowaliliczne techniki maskowania, które pozwoliły mu przetrwać kilkamiesięcy w sklepie Play, a nawet otrzymywać aktualizacje, podpłaszczykiem umieszczonej tam aplikacji Energy Rescue (mającejsłużyć do wykrycia i naprawienia uszkodzonych ogniw akumulatora).
Przede wszystkim więc Charger sprawdza, czy nie jest uruchomionyw emulatorze – jeśli tak, wstrzymuje wszystkie złośliweaktywności i zachowuje się jak kolejna bzdurna aplikacja z Play,która obiecuje że ulepszy działanie urządzenia. Jeśli jednak jużuruchomiona zostanie na urządzeniu, to stosuje techniki szyfrowaniai maskowania – wszystkie ciągi zamienione zostają w binarnetablice, by utrudnić ich zbadanie, a kod ładowany jest dynamiczniez zaszyfrowanych zasobów. Pełno w nim w dodatku bezsensownych, nicnie robiących poleceń, co jeszcze bardziej utrudnia ustalenie, cowłaściwie się dzieje. Bouncer, wbudowany w sklep Play skanerantywirusowy Google’a, najwyraźniej sobie nie poradził.
Ciekawostką może być to, że szkodnik sprawdza też językustawiony na urządzeniu. W wypadku natrafienia na rosyjski,ukraiński lub białoruski, zachowuje się „grzecznie” –najwyraźniej chodzi o to, by uniknąć problemów w krajach, zktórych pochodzą deweloperzy.
Po uruchomieniu złośliwej aplikacji z Chargerem, wykrada onakontakty i wiadomości SMS, a następnie prosi o udzielenie uprawnieńadministracyjnych (by naprawić baterię). Jeśli posiadaczzrootowanego urządzenia to zrobi, wóczas szkodnik blokujeurządzenie i wyświetla komunikat z żądaniem zapłaty okupu.
Groźba jest poważna – cyberprzestępcy twierdzą, żeposiadają wszystkie osobiste dane ofiary, włącznie z numerami kartkredytowych – i sprzedadzą je na czarnym rynku, jeśli nie dostaną0,2 bitcoina (niecałe 800 zł). Sporo, jak na mobilne malware, dotej pory ransomware na telefony żądało kwot w wysokościkilkunastu dolarów. Groźba jest zarazem fałszywa – poza SMS-amii kontaktami szkodnik niczego innego nie przejmuje.
Aplikacja Energy Rescue dzięki odkryciu badaczy Check Pointazostała usunięta ze sklepu Play, ale wciąż ją można znaleźć winnych sklepach. Po pobraniu jej na smartfon, bezużytecznezdaniem Google’a antywirusy mobilne blokują jednak jej działanie– lekki Antivirus& Mobile Security firmy WhiteArmor wykrył zagrożenie odrazu. Może więc nie są tak bezużyteczne? Trzeba wziąć poduwagę, że kolejne wersje Chargera mogą trafić do innych niżEnergy Rescue aplikacji.
