r   e   k   l   a   m   a
r   e   k   l   a   m   a

Napakowane złośliwym kodem ransomware Charger przeniknęło do Google Play

Strona główna AktualnościBEZPIECZEŃSTWO

Niejednokrotnie już wspominaliśmy o złośliwym oprogramowaniu w sklepie Play – zwykle jednak były to proste aplikacje phishingowe, które obiecując rozrywkę czy dodatkowe funkcjonalności dla popularnych portali społecznościowych wykradały jakieś dane użytkownika. Charger – odkryter przez badaczy Check Point zagrożenie – wygląda jednak znacznie ciekawiej, dowodząc że twórcy mobilnego malware próbują stworzyć coś, co dorówna szkodnikom grasującym na Windowsie. Swoją złośliwą działalność ukrywa bardzo przebiegle, na wszelkiego rodzaju emulatorach nie odkryjemy, że coś jest nie tak.

Większość szkodników na Androida to droppery – same w sobie wolne od złośliwego kodu, dopiero po zainstalowaniu na urządzeniu użytkownika pobierają ze zdalnych źródeł bojowy ładunek. Charger jednak jest całkowicie samodzielny. Jego twórcy zastosowali liczne techniki maskowania, które pozwoliły mu przetrwać kilka miesięcy w sklepie Play, a nawet otrzymywać aktualizacje, pod płaszczykiem umieszczonej tam aplikacji Energy Rescue (mającej służyć do wykrycia i naprawienia uszkodzonych ogniw akumulatora).

Przede wszystkim więc Charger sprawdza, czy nie jest uruchomiony w emulatorze – jeśli tak, wstrzymuje wszystkie złośliwe aktywności i zachowuje się jak kolejna bzdurna aplikacja z Play, która obiecuje że ulepszy działanie urządzenia. Jeśli jednak już uruchomiona zostanie na urządzeniu, to stosuje techniki szyfrowania i maskowania – wszystkie ciągi zamienione zostają w binarne tablice, by utrudnić ich zbadanie, a kod ładowany jest dynamicznie z zaszyfrowanych zasobów. Pełno w nim w dodatku bezsensownych, nic nie robiących poleceń, co jeszcze bardziej utrudnia ustalenie, co właściwie się dzieje. Bouncer, wbudowany w sklep Play skaner antywirusowy Google’a, najwyraźniej sobie nie poradził.

r   e   k   l   a   m   a

Ciekawostką może być to, że szkodnik sprawdza też język ustawiony na urządzeniu. W wypadku natrafienia na rosyjski, ukraiński lub białoruski, zachowuje się „grzecznie” – najwyraźniej chodzi o to, by uniknąć problemów w krajach, z których pochodzą deweloperzy.

Po uruchomieniu złośliwej aplikacji z Chargerem, wykrada ona kontakty i wiadomości SMS, a następnie prosi o udzielenie uprawnień administracyjnych (by naprawić baterię). Jeśli posiadacz zrootowanego urządzenia to zrobi, wóczas szkodnik blokuje urządzenie i wyświetla komunikat z żądaniem zapłaty okupu.

Groźba jest poważna – cyberprzestępcy twierdzą, że posiadają wszystkie osobiste dane ofiary, włącznie z numerami kart kredytowych – i sprzedadzą je na czarnym rynku, jeśli nie dostaną 0,2 bitcoina (niecałe 800 zł). Sporo, jak na mobilne malware, do tej pory ransomware na telefony żądało kwot w wysokości kilkunastu dolarów. Groźba jest zarazem fałszywa – poza SMS-ami i kontaktami szkodnik niczego innego nie przejmuje.

Aplikacja Energy Rescue dzięki odkryciu badaczy Check Pointa została usunięta ze sklepu Play, ale wciąż ją można znaleźć w innych sklepach. Po pobraniu jej na smartfon, bezużyteczne zdaniem Google’a antywirusy mobilne blokują jednak jej działanie – lekki Antivirus & Mobile Security firmy WhiteArmor wykrył zagrożenie od razu. Może więc nie są tak bezużyteczne? Trzeba wziąć pod uwagę, że kolejne wersje Chargera mogą trafić do innych niż Energy Rescue aplikacji.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.   

Trwa konkurs "Ogól naczelnego", w którym codziennie możecie wygrać najnowsze maszynki systemowe Hydro Connect 5 marki Wilkinson Sword.

Więcej informacji

Gratulacje!

znalezione maszynki:

Twój czas:

Ogól Naczelnego!
Znalazłeś(aś) 10 maszynek Wilkinson Sword
oraz ogoliłaś naszego naczelnego!
Przejdź do rankingu
Podpowiedź: Przyciśnij lewy przycisk myszki i poruszaj nią, aby ogolić brodę.