Вирус-вымогатель для Android на свободе, требует подарочную карту iTunes в качестве выкупа

Вирус-вымогатель Dogspectus для Android тихо устанавливается на ваш смартфон и требует выкуп в размере $200 в виде подарочной карты iTunes

Исследователи безопасности из Blue Coat обнаружили новую кампанию по распространению мобильного вредоносного ПО, называемого вирусом-вымогателем Dogspectus, который не требует никакого взаимодействия с пользователем для заражения устройств.

Эксперты из Blue Coat Labs впервые заметили угрозу после того, как планшет с CyanogenMod 10 / Android 4.2.2 увидел рекламу, которая тихо подсовывала вредоносные нагрузки без какого-либо взаимодействия с пользователем.

Заражение происходит, когда пользователи посещают веб-сайт, содержащий зараженный JavaScript-код. Blue Coat Labs сообщает, что вредоносный код доставляется через вредоносную рекламу (malvertising). Вредоносный код захватывает мобильные объявления для обмана с подарочными картами, он блокирует устройство в состоянии, которое позволяет только жертвам произвести оплату.

Исследователи безопасности из Zimperium подтвердили, что вредоносный код содержал эксплойт, утекший в прошлом году в результате утечки данных Hacking Team.

Атака очень сложная и знаменует собой эволюцию классической атаки malvertising, как объясняет ниже Эндрю Брандт из Blue Coat.

“Это первый случай, насколько мне известно; когда набор эксплойтов смог успешно установить вредоносные приложения на мобильное устройство без какого-либо взаимодействия со стороны жертвы. Во время атаки устройство не отображало обычное диалоговое окно «разрешения приложения», которое обычно появляется перед установкой Android-приложения,” написал Брандт.

После дальнейшего анализа с помощью исследователей из Zimperium было установлено, что эксплойт использует уязвимость в библиотеке libxslt для Android, которая позволяет злоумышленникам загружать бинарный файл Linux ELF под названием module.so на устройство.

Этот бинарный файл использует эксплойт для Android, известный как Towelroot, чтобы получить права root на устройстве. Инструмент был выпущен в 2014 году популярным хакером Джорджем Хотцом, он способен рутировать Android-устройства, используя известный недостаток в Linux (CVE-2014-3153).

После подтверждения доступа root, module.so также загрузит дополнительный APK для Android (пакет Android-приложения), который содержит код вируса-вымогателя. Затем злоумышленник может тихо установить вирус-вымогатель, имея доступ root и не запрашивая у пользователя никаких разрешений.

Имя этого трояна-вымогателя - Dogspectus или Cyber.Police и он был впервые обнаружен в декабре 2014 года. В отличие от вирусов-вымогателей для настольных ПК, которые шифруют файлы, это приложение не шифрует пользовательские файлы. Вместо этого оно отображает ложное предупреждение, якобы от правоохранительных органов, сообщающее о том, что на устройстве была обнаружена незаконная деятельность, и владелец должен заплатить штраф.

Blue Coat Labs сообщает, что зараженные жертвы отправляют нешифрованный трафик со своих устройств на центральный сервер управления и контроля. Компания смогла отследить трафик, поступающий от 224 различных моделей Android-устройств (планшетов, смартфонов), использующих версии Android от 4.0.3 до 4.4.4.

Самая низкая официально поддерживаемая версия Android - 4.4.4, что означает, что злоумышленники нацелены на пользователей, которые не смогли или не могут обновить свои устройства.

“Тот факт, что некоторые из этих устройств известны как неуязвимые конкретно к эксплойту libxlst от Hacking Team, означает, что для заражения некоторых из этих [других] мобильных устройств могли быть использованы другие эксплойты,” отмечает Брандт.

“Вирус-вымогатель не угрожает (или на самом деле) шифрует данные жертвы. Скорее, устройство удерживается в заблокированном состоянии, где его нельзя использовать ни для чего, кроме как для передачи оплаты преступникам в виде двух кодов подарочных карт Apple iTunes по $100,” написал Брандт в исследовательской заметке.

Жертвы, которые решают заплатить выкуп, чтобы разблокировать свой телефон, направляются к оплате “штрафа” в размере от $100 до $200 на “казначейский счет” через предоставление кодов подарочных карт iTunes.

Тем не менее, Брандт сказал, что самый простой и эффективный способ удалить вирус-вымогатель - восстановить устройство Android до его оригинального заводского программного обеспечения. Таким образом, если вы обнаружите, что ваше устройство заражено вирусом-вымогателем Dogspectus, рекомендуется подключить устройство к ПК и скопировать личные данные на компьютер перед тем, как выбрать сброс до заводских настроек.

Также всегда рекомендуется обновлять устройство до последней версии Android, так как новые версии ОС включают патчи уязвимостей и другие улучшения безопасности. Кроме того, пользователи должны ограничить свою активность в Интернете на устройстве, как только оно выходит из поддержки и больше не получает обновлений. Аналогично, на старых устройствах вместо использования стандартного браузера Android им следует установить браузер, такой как Chrome.