Осторожно, этот программный вирус пытается атаковать ваши Смарт ТВ

Киберпреступники вымогают деньги у владельцев Android Смарт ТВ после шифрования их телевизоров с помощью программ-вымогателей

Похоже, что что бы ни делали компании по безопасности, чтобы их поймать, киберпреступники всегда оказываются на шаг впереди. На фоне угроз программ-вымогателей, которые на протяжении последних нескольких недель попадают в заголовки новостей, появилась новая угроза.

Когда казалось, что киберпреступники интересуются только взломом веб-сайтов, кражей паролей и т. д., похоже, они перешли в новую область интересов — Интернет вещей (IoT). Другими словами, если у вас есть Смарт-часы, Смарт ТВ, Смарт-холодильник или любое другое устройство, подключенное к Интернету, вам стоит быть осторожным.

Исследователи Trend Micro наткнулись на программный вирус блокировки экрана для Android, известный как «FLocker», который способен блокировать как Android-смартфоны, так и Смарт ТВ. Да, вы правильно услышали!

Эхо Дуань, исследователь Trend Micro, написал в блоге, что с тех пор как версия FLocker (обнаруженная как ANDROIDOS_FLOCKER.A и сокращенно «Frantic Locker») вышла в мае 2015 года, компания отслеживала более 7,000 вариаций этого вредоносного программного обеспечения. Изначально программный вирус FLocker нацеливался на Android-смартфоны, а его разработчики постоянно обновляли программный вирус и добавляли поддержку новых изменений в системе Android.

«Это первый крупный случай программ-вымогателей, который мы нашли, инфицирующих телевизоры», — сказал Кристофер Бадд, менеджер по глобальным коммуникациям угроз, в электронном письме SCMagazine.com.

Согласно отчету, его автор продолжал переписывать вредоносное ПО, чтобы предотвратить его обнаружение и улучшить его рутину. «За последние несколько месяцев мы наблюдали всплески и падения в количестве выпущенных итераций. Последний всплеск произошел в середине апреля с более чем 1,200 вариантами», — сказал представитель компании.

Этот FLocker работает как полицейский троян и пытается запугать потенциальную жертву, заставляя ее платить, утверждая, что она является частью киберполиции США или другого правоохранительного органа. Как только вредоносное ПО загружается и телевизор блокируется, хакер обвиняет потенциальные жертвы в преступлениях, которых они не совершали, и требует 200 долларов в подарочных картах iTunes для разблокировки Смарт ТВ или мобильного устройства.

Иронично, что именно удобство, которое получают владельцы, используя несколько устройств, работающих на одной платформе, упрощает жизнь хакерам. «Использование нескольких устройств, работающих на одной платформе, облегчает жизнь многим людям. Однако, если вредоносное ПО затрагивает одно из этих устройств, то это вредоносное ПО может в конечном итоге затронуть и другие», — написал Дуань.

«Что касается того, как оно доставляется, оно передается через стандартные векторы заражения: ничего нового или особенного. Телевизоры в этом случае являются случайным побочным ущербом от программ-вымогателей и не являются конкретной целью. Они просто работают на уязвимой версии Android», — сказал Бадд.

Мало чем отличается FLocker, который атакует мобильные устройства, от версии, которая нацеливается на Смарт ТВ.

«Чтобы избежать статического анализа, FLocker скрывает свой код в сырых данных внутри папки «assets». Создаваемый файл называется «form.html» и выглядит как обычный файл. Таким образом, код «classes.dex» становится довольно простым, и никакого вредоносного поведения там не может быть найдено. Таким образом, вредоносное ПО имеет шанс избежать статического анализа кода. Когда вредоносное ПО запускается, оно расшифровывает «form.html» и выполняет вредоносный код», — написал он.

Trend Micro сообщает, что вредоносное ПО настроено на деактивацию в некоторых регионах, включая Россию, Болгарию, Венгрию, Украину, Грузию, Казахстан, Азербайджан, Армению и Беларусь.

Тем не менее, если FLocker обнаруживает устройства за пределами этих стран, вредоносное ПО будет ждать 30 минут. После короткого ожидания оно запускает фоновый сервис, который немедленно запрашивает права администратора устройства. Если пользователь отказывает в запросе, оно замораживает экран, притворяясь обновлением системы.

FLocker работает в фоновом режиме и подключается к командному и контрольному (C&C). C&C затем доставляет новый пакет misspelled.apk и HTML-файл «выкупа» с включенным интерфейсом JavaScript (JS). Эта HTML-страница имеет возможность начать установку APK, делать фотографии затронутого пользователя с помощью интерфейса JS и отображать сделанные фотографии на странице выкупа.

Веб-страница с выкупом подходит под экран, независимо от того, инфицировало ли оно мобильное устройство или Смарт ТВ.

Несмотря на то, что новая версия FLocker не шифрует файлы на инфицированном устройстве, она имеет возможность красть данные с устройства, включая контакты, номер телефона, информацию об устройстве и данные о местоположении.

Хотя отчет Trend Micro неясен в том, как FLocker заражает Смарт ТВ, он упоминает, что обычно заражение программами-вымогателями происходит через SMS или вредоносные ссылки.

Поэтому вам следует быть осторожным при просмотре Интернета и получении текстовых сообщений или электронных писем от неизвестных источников.

Для тех людей, которые не проживают в Восточной Европе, Дуань рекомендовал в своем блоге: «Мы рекомендуем пользователям сначала обратиться к поставщику устройства за решением, если их Android ТВ был инфицирован».

Для тех жертв, которые немного разбираются в технологиях, они могут, возможно, справиться с задачей самостоятельно. Он сказал: «Другой способ удаления вредоносного ПО возможен, если пользователь может включить отладку ADB. Пользователи могут подключить свое устройство к ПК и запустить оболочку ADB и выполнить команду «PM clear %pkg%». Это завершает процесс программ-вымогателя и разблокирует экран. Пользователи могут затем деактивировать права администратора устройства, предоставленные приложению, и удалить приложение».

Он добавил: «Для обеспечения безопасности мобильных устройств мы советуем устанавливать программное обеспечение безопасности на свои смарт-устройства, чтобы защитить их от вредоносных приложений и угроз. Trend Micro Mobile Security и Trend Micro Mobile Security Personal Edition защищают пользователей от этого программного вируса и других связанных угроз. Trend Micro Mobile Security Personal Edition доступен в Google Play».

В следующий раз, когда ваш Android Смарт ТВ откажется воспроизводить, вам следует знать, что вы столкнулись с большим выкупом.