Ransomware Lockdroid přichází s trikem, který si půjčil ze světa počítačů

ransomware-lockdroid-novy-trik-ico

Škodlivé aplikace pro Android převzaly ze světa počítačů další techniku. Jedná se o takzvaný “dropper”, což je škodlivý kód, který má za cíl do napadeného zařízení instalovat další programy. Malware je většinou zakódován tak, že ztěžuje případné odhalení antivirovým programem pomocí běžných metod. Nová funkce byla zaznamenána u ransomware z rodiny Lockdroid.

Ransomware jsou “vyděračské” aplikace, které obvykle nějakým způsobem zabraňují uživateli v používání zařízení. Nejčastější metoda tohoto typu infiltrace vypadá následovně:

  1. Aplikace se infiltruje do systému a začne šifrovat soubory. Během toho odesílá řadu osobních údajů, fotografie a další data na server útočníka.
  2. Po zašifrování a odeslání všech dat zobrazí uživateli výzvu. Ta se často nese v duchu “Zaplať, nebo každých X minut vystavíme část Tvých dat na veřejně dostupné místo Internetu.”
  3. Pokud uživatel zaplatí, měl by mu být (dle slibů autora) poskytnut klíč nebo způsob k dešifrování zašifrovaných dat.

Podrobněji jsme se jednomu z několika typů ransomware věnovali ve článku Proč se bát „vyděračských“ (ransomware) aplikací? Jedna už pronikla do Obchodu Play!

Vraťme se ale k nové funkci “dropper”, kterou oplývá ransomware Lockdroid. Tato kategorie škodlivých aplikací existuje ve světě desktopů již poměrně dlouho. Jedná se zpravidla o malou aplikaci, jejímž cílem je připravit půdu pro další formy útoku – například zajištění automatického startu při spuštění systému, stažení dalšího malware a provedení dalších operací.

Čím je však “dropper” v malwaru Lockdroid výjimečný? Především tím, že tato technika dosud nebyla použita v případě ransomwaru pro Android. Mobilním zařízením se se tato metoda zatím vyhýbala. Podle bezpečnostní firmy Symantec je nová varianta ransomware Lockdroid, označovaná jako Android.Lockdroid.E, vůbec první, která ji používá.

Lockdroid požaduje výkupné formou QR kódu

Výzkumníci zjistili, že autoři šíří malware Lockdroid přes repozitáře aplikací třetích stran. Odkazy ke stažení publikují v nejrůznějších diskuzních fórech, rozesílají je ale také jako textové zprávy. Když uživatel stáhne instalační balíček a provede instalaci (aneb nejslabší článek celého řetězce), škodlivá aplikace nejprve zkontroluje stav systému.

V případě, že systém neposkytuje možnost využití práv roota, využije oprávnění k uzamknutí obrazovky, které během instalace poskytl a odsouhlasil uživatel. Na zamčené obrazovce pak zobrazí QR kód s požadavkem na zaplacení výkupného.

Lockdroid požaduje výkupné formou QR kódu Lockdroid požaduje výkupné formou QR kódu

Jestliže je systém rootnutý, požádá uživatele o práva roota. Pokud nyní kroutíte hlavou nad tím, kdo a proč poskytne práva roota v podstatě neznámé aplikaci, pak vězte, že Lockdroid útočí “na nejvyšší úrovni”: slibuje přístup k tisícům pornografických videí. Jestliže uživatel práva poskytne, stáhne si ransomware z Internetu svou nejnovější verzi. Následně provede tyto akce:

  • Opětovně připojí systémový oddíl.
  • Zkopíruje APK soubor do složky se systémovými aplikacemi, čímž zabrání svému smazání i v případě, že uživatel restartuje telefon do továrního nastavení.
  • Nastaví APK souboru příznak spustitelné aplikace.
  • Restartuje zařízení a ransomware pak poběží jako automaticky spouštěný systémový program.

Další postup je pak shodný s výše uvedeným: Lockdroid zamkne zařízení a zobrazí QR kód s požadavkem na výkupné. Tentokrát má administrátorská práva, takže zámek obrazovky je téměř nemožné odstranit bez přeflashování telefonu.

Ransomware Lockdroid je jednou z nejaktivnějších známých rodin této kategorie škodlivých aplikací. Není to poprvé, co autoři v boji s uživatelem použili nové techniky. V předchozích verzích například zobrazovali falešná tlačítka, kterými překrývali ta skutečná. Na starších verzích Androidu tímto způsobem pak získávali administrátorská práva.

Poskytli byste aplikaci práva roota výměnou za přístup k pornografickému obsahu?

Zdroj: bleepingcomputer.com.

Karel Kilián
O Autorovi - Karel Kilián

S překonanou čtyřicítkou je s náskokem nejstarším členem redakce :-). Před několika lety hypoteticky vymyslel operační systém svých snů, aby následně zjistil, že přesně na… více o autorovi

Mohlo by vás zajímat

Komentáře (6)