Na Play Storu byla zázračná appka, která zvýší výdrž baterie. Nakonec se z ní vyklubal vyděračský ransomware

Na Play Storu byla zázračná appka, která zvýší výdrž baterie. Nakonec se z ní vyklubal vyděračský ransomware

Specialisté z Check Pointu zmapovali další zajímavý ransomare. Říkají mu Charger, cílil na telefony s Androidem a svůj skutečný účel skryl dostatečně kvalitně, aby pronikl i do oficiálního Play Storu, kde se vydával za aplikaci Energy Rescue, která zvýší výdrž telefonu na baterii.

Autoři malwaru si dali záležet, aby aplikace vypadala skutečně atraktivně, a tak se může pochlubit vkusnou ikonou i rozhraním, které na první pohled opravdu evokuje funkční program.

Klepněte pro větší obrázek
Mobilní ransomware pronikl na i Play Store

Jenže ouha, po spuštění se rozbalí samotný malware, který zašifruje data ve veřejné paměti (SD/sdílená paměť), SMS, kontakty, a pokud bude telefon rootnutý, požádá o administrátorská práva a případně zašifruje celý telefon.

Poté se už Charger chová jako každý jiný ransomware a po oběti bude požadovat výkupné ve výši 0,2 BTC (asi 4,5 tis. CZK). Zajímavá je nicméně i výhružka, podle které útočník v případě nezaplacení prodá zašifrovaná data na černém trhu.

Ještě zajímavější než samotná funkce ransomwaru je ale v tomto případě rozbor, jak je možné, že virus neodhalila předběžná automatická kontrola Googlu a malware se dostal do Play Storu. Google před publikací každý programu automaticky spustí ve virtuálním prostředí a audituje jeho chování.

Autoři mobilního malwaru se tomu ale začínají přizpůsobovat a kód svých aplikací upravují tak, aby se pokusily detekovat běh v emulovaném prostředí. V takovém případě se pak záškodnická část kódu neaktivuje.

Klepněte pro větší obrázek
Úryvek kódu, který nespustí záškodnickou aktivitu, pokud je lokalizace telefonu nastavení na ruštinu, ukrajinštinu a běloruštinu (RU, UA a BY)

Tento malware šel ve své vlastní ochraně ještě mnohem dál a třeba textové řetězce, ve kterých byly uložené sdělení o tom, že byl telefon zašifrován a oběť má zaplatit výkupné, dodatečně šifruje převedením do pole bajtů. Automat Googlu tedy nemůže provést analýzu vložených textů. Do třetice útočníci do samotných instrukcí malwaru vnášejí určitou formu soli (šumu), která má znepříjemnit analýzu jejich posloupnosti. Malwarové instrukce tedy střídají všemožné další nesmyslné instrukce, které mají odvádět pozornost případného auditu a skrýt skutečný význam programu.

Virus mají na svědomí nejspíše programátoři z východní Evropy, ransomware totiž neútočí na mobilech s ruskou, ukrajinskou nebo běloruskou lokalizací. Důvodem nejspíše není to, že by se snad jednalo o patrioty, ale chrání se tím před případnou trestně-právní zodpovědností. V zemi jejich původu se jednoduše řečeno nejedná o malware, protože nijak neútočí.

Témata článku: Bezpečnost, Mobility, Android, Antivirus, Mobilní aplikace, Atomová bomba, Malware, Play Store, Ransomware, Google Play Store, Patriot, Rescue, Soli, Emulovaná aplikace, Výkupné, Ukrajinský počítač, Zákeřný ransomware, Vyděračský ransomware, Zašifrovaný data, Zašifrovaná data, Bělorusko, Virtuální prostředí

26 komentářů

Nejnovější komentáře

  • TrueStory 29. 1. 2017 22:27:31
    Zvětšení baterie; zrychlení PC; zvětšení penisu; pasivní příjem bez práce...
  • Jaroslav V. 27. 1. 2017 8:45:36
    Nejvtipnejsi na tom je, ze na toto lide proste slysi. Lidi jsou posedli...
  • dustojnikhummer 27. 1. 2017 7:14:11
    Tak pokud nebyli dost chytří a nepřepsali recovery nebo bootloader tak by...
Určitě si přečtěte

Vrcholí bitcoinová občanská válka. Populární kryptoměně hrozí krize nebývalých rozměrů

Vrcholí bitcoinová občanská válka. Populární kryptoměně hrozí krize nebývalých rozměrů

** Všichni chtějí rychlejší a lepší Bitcoin ** Jenže každý má trošku jiné zájmy ** Spor může už za pár dnů skončit velkou krizí

16.  7.  2017 | Jakub Čížek | 73

Další důkaz o existenci Planety 9

Další důkaz o existenci Planety 9

Dnes | Jiří Černý | 1


Aktuální číslo časopisu Computer

Test 11 telefonů do 6 000 Kč

Postavte si a přetaktujte počítač

Srovnali jsme 7 sportovních kamer

Která zaměstnání nahradí roboti?