Napakowane złośliwym kodem ransomware Charger przeniknęło do Google Play

Napakowane złośliwym kodem ransomware Charger przeniknęło do Google Play02.02.2017 09:27

Niejednokrotnie już wspominaliśmy o złośliwym oprogramowaniu wsklepie Play – zwykle jednak były to proste aplikacje phishingowe,które obiecując rozrywkę czy dodatkowe funkcjonalności dlapopularnych portali społecznościowych wykradały jakieś daneużytkownika. Charger – odkryter przez badaczy Check Pointzagrożenie – wygląda jednak znacznie ciekawiej, dowodząc żetwórcy mobilnego malware próbują stworzyć coś, co dorównaszkodnikom grasującym na Windowsie. Swoją złośliwą działalnośćukrywa bardzo przebiegle, na wszelkiego rodzaju emulatorach nieodkryjemy, że coś jest nie tak.

Większość szkodników na Androida to droppery – same w sobiewolne od złośliwego kodu, dopiero po zainstalowaniu na urządzeniuużytkownika pobierają ze zdalnych źródeł bojowy ładunek.Charger jednak jest całkowicie samodzielny. Jego twórcy zastosowaliliczne techniki maskowania, które pozwoliły mu przetrwać kilkamiesięcy w sklepie Play, a nawet otrzymywać aktualizacje, podpłaszczykiem umieszczonej tam aplikacji Energy Rescue (mającejsłużyć do wykrycia i naprawienia uszkodzonych ogniw akumulatora).

Przede wszystkim więc Charger sprawdza, czy nie jest uruchomionyw emulatorze – jeśli tak, wstrzymuje wszystkie złośliweaktywności i zachowuje się jak kolejna bzdurna aplikacja z Play,która obiecuje że ulepszy działanie urządzenia. Jeśli jednak jużuruchomiona zostanie na urządzeniu, to stosuje techniki szyfrowaniai maskowania – wszystkie ciągi zamienione zostają w binarnetablice, by utrudnić ich zbadanie, a kod ładowany jest dynamiczniez zaszyfrowanych zasobów. Pełno w nim w dodatku bezsensownych, nicnie robiących poleceń, co jeszcze bardziej utrudnia ustalenie, cowłaściwie się dzieje. Bouncer, wbudowany w sklep Play skanerantywirusowy Google’a, najwyraźniej sobie nie poradził.

Ciekawostką może być to, że szkodnik sprawdza też językustawiony na urządzeniu. W wypadku natrafienia na rosyjski,ukraiński lub białoruski, zachowuje się „grzecznie” –najwyraźniej chodzi o to, by uniknąć problemów w krajach, zktórych pochodzą deweloperzy.

Po uruchomieniu złośliwej aplikacji z Chargerem, wykrada onakontakty i wiadomości SMS, a następnie prosi o udzielenie uprawnieńadministracyjnych (by naprawić baterię). Jeśli posiadaczzrootowanego urządzenia to zrobi, wóczas szkodnik blokujeurządzenie i wyświetla komunikat z żądaniem zapłaty okupu.

Groźba jest poważna – cyberprzestępcy twierdzą, żeposiadają wszystkie osobiste dane ofiary, włącznie z numerami kartkredytowych – i sprzedadzą je na czarnym rynku, jeśli nie dostaną0,2 bitcoina (niecałe 800 zł). Sporo, jak na mobilne malware, dotej pory ransomware na telefony żądało kwot w wysokościkilkunastu dolarów. Groźba jest zarazem fałszywa – poza SMS-amii kontaktami szkodnik niczego innego nie przejmuje.

Aplikacja Energy Rescue dzięki odkryciu badaczy Check Pointazostała usunięta ze sklepu Play, ale wciąż ją można znaleźć winnych sklepach. Po pobraniu jej na smartfon, bezużytecznezdaniem Google’a antywirusy mobilne blokują jednak jej działanie– lekki Antivirus& Mobile Security firmy WhiteArmor wykrył zagrożenie odrazu. Może więc nie są tak bezużyteczne? Trzeba wziąć poduwagę, że kolejne wersje Chargera mogą trafić do innych niżEnergy Rescue aplikacji.

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na