Ransomware Faketoken bierze się za szyfrowanie plików na Androidzie
Do tej pory mobilne odmiany ransomware stawiały na blokowaniezarażonych urządzeń – ich twórcy wychodzili z założenia, żeszyfrowanie danych nie ma większego sensu, skoro kopie zapisane sąw chmurze. Faketoken jest chyba pierwszym działającym na takąskalę szkodnikiem, który postawił na masowe szyfrowanie danych naAndroidzie, w dodatku całkiem sprawnie kradnąc wrażliwe dane zaplikacji finansowych.
Kaspersky Lab ostrzegaprzed podszywającym się pod przeróżne aplikacje i gry mobilne (anawet pod Flash Playera) trojanem Faketoken(Trojan-Banker.AndroidOS.Faketoken). Jego głównym celem jestwykradanie danych. Jak do tej pory miał mieć ponad 16 tys. ofiar z27 krajów, w tym u naszych najbliższych sąsiadów – Niemiec,Rosji i Ukrainy.
Podczas infekcji szkodnik w miarę możliwości żąda uprawnieńadministratora, a jeśli brak roota na to nie pozwala, to zgody nanałożenie się na inne aplikacje czy działanie jako klient SMS-ów.Według Kaspersky Lab robi to tak skutecznie, że wielu użytkownikóww końcu udziela mu tych uprawnień, otwierając drogę do kradzieżydanych, czy to bezpośrednio, z kontaktów i plików, czy pośrednio,poprzez strony phishingowe.
Następnie ze swojego serwera dowodzenia i kontroli Faketokenpobiera bazę z frazami w 77 językach dla różnych lokalizacjiurządzeń. Wykorzystywane są one do tworzenia wiadomościphishingowych, pozwalających na przejęcie haseł z kont Gmail.Trojan potrafi też udawać Sklep Play, aby wykraść dane związanez kartami płatniczymi. Lista aplikacji dla których możewygenerować strony phishingowe jest spora, wśród samych aplikacjifinansowych znalazło się na niej 2 249 pozycji.
Nowa wersja Faketokena wprowadza mechanizm szyfrowania danych naurządzeniu, w tym dokumentów, zdjęć i filmów. Wykorzystywany wtym celu jest symetryczny szyfr AES. Najwyraźniej jednak nie jest toza skuteczne, coś musi być nie tak z zastosowanym kluczem, gdyżeksperci Kaspersky Lab wspominają o możliwości odszyfrowaniadanych bez płacenia okupu – najwyraźniej chodzi o możliwośćjego przejęcia z serwera dowodzenia i kontroli.
Dodatkowo zmodyfikowana wersja Faketokena próbuje zastąpićskróty aplikacji portali społecznościowych, komunikatorówinternetowych i przeglądarek. Cel tego działania jest nieznany,podmienione ikony wciąż prowadzą do oryginalnych aplikacji.Zapewne jest to próba przed jakimś nowym mechanizmem phishingowym.
Co robić? Jak się zabezpieczyć?
Ochrona przez Faketokenem sprowadza się do przestrzegania trzechwzględnie prostych postulatów:
– tworzenia kopii zapasowych wszystkich danych,
– nieudzialania aplikacjom uprawnień bez zastanowienia się,czy są one im faktycznie potrzebne,
– aktualizowania firmware i korzystania z mobilnegooprogramowania antywirusowego.