Android Ransomware използва Droppers за повишаване на ефективността

Xakep #241. Хакване на игри

В началото на 2016 г. анализаторите на Symantec откриха тогава нов мобилен блокер Android.Lockdroid.E. Тогава беше съобщено, че зловредният софтуер се разпространява заедно с приложения за възрастни и не само заключва устройството и криптира файлове, изисквайки откуп, но също така заплашва да изпрати историята на браузъра до целия списък с контакти на жертвата в случай на неплащане. Освен това Lockdroid може да нулира устройството до фабричните настройки, като същевременно унищожава почти цялата информация.

Експерти казват, че Lockdroid все още се разпространява чрез каталози с приложения на трети страни, както и чрез спам. Ако потребител се хване на стръвта на измамници и инсталира злонамерено приложение, капкомерът ще извърши необходимите проверки в системата. Така ще провери дали устройството е руутнато. Ако отговорът е не, тогава зловредният софтуер вече е получил всичко необходимо и може да премине към блокиране на устройството и искане на откуп. Изискванията на нападателите се показват на екрана на устройството заедно с QR код.

droppers

Ако Lockdroid е на руутнато устройство, сценарият се променя леко. В този случай капкомерът ще поиска от потребителя root привилегии, които се предполага, че са необходими за достъп до съдържание за възрастни. Веднага след като правата бъдат получени, капкомерът ще изтегли самия злонамерен софтуер Lockdroid и след това ще бъдат извършени следните действия: системният дял / ще бъде монтиран отново; вграденият APK файл Android.Lockdroid.E ще бъде копиран в /system/app/[THREAT NAME].apk; APK файлът за капкомер ще получи статус на изпълним; устройството ще се рестартира и зловредният софтуер ще стане системно приложение след рестартирането. Освен това, както в първия сценарий, устройството е блокирано и на екрана се появява QR код.

Изследователите отбелязват, чеИзползването на QR код прави още по-трудно за потребителите да платят откупа, тъй като жертвата ще се нуждае от друго, незаразено устройство, за да сканира кода. Като се има предвид, че зловредният софтуер показва своите изисквания на фона на порнографско изображение, много потребители ще предпочетат да презаредят устройството и да загубят всички данни, но няма да отнесат такъв проблем на някой друг.