iPhone & iPad

Хакеры массово блокируют старые Android-смартфоны и требуют выкуп в виде подарочных карт iTunes

Эксперт исследовательской компании Blue Coat Эндрю Брандт зафиксировал волну атак на смартфоны и планшеты под управлением Android. По его словам, для заражения мобильных устройств вымогательским ПО злоумышленники используют набор эксплоитов.

Android-block-3

«Впервые на моей памяти набор эксплоитов успешно устанавливает вредоносные приложения на мобильное устройство без каких-либо действий со стороны пользователя», – цитирует Securitylab Брандта.

Исследователь обнаружил новый метод атак, когда после загрузки с веб-страницы вредоносной рекламы с JavaScript устройство на Android инфицируется вымогательским ПО. В ходе атаки на дисплей планшета (исследователь использовал устройство от Samsung на базе Android 4.2.2 с прошивкой Cyanogenmod 10) не выводилось привычное диалоговое окно, запрашивающее разрешения на установку приложений.

Android-block-1

Проконсультировавшись с экспертом Zimperium Джошуа Дрейком, Брандт установил, что используемый в ходе атаки JavaScript содержит эксплоит для уязвимости в библиотеке libxslt, утекший после взлома компании Hacking Team. По словам Дрейка, полезная нагрузка эксплоита (исполняемый файл Linux ELF с названием module.so) содержит код инструмента Towelroot, появившегося в 2014 году. Полезная нагрузка ELF в свою очередь содержит код, загружающий и устанавливающий троян-вымогатель.

Некоторые домены, с которых осуществляется атака, были созданы менее месяца назад, однако сама атака началась самое позднее в середине февраля нынешнего года. Используемое злоумышленниками вымогательское ПО Cyber.Police имеет схожие черты с несколькими старыми семействами вымогателей, применяемых еще до появления шифровальщиков. Троян выводит на дисплей сообщение якобы от правоохранительных органов, сообщающее, будто пользователь просматривал в браузере запрещенный контент.

Android-block-2

Инфицировав систему, Cyber.Police не шифрует файлы жертвы, а блокирует само устройство, превращая его в «кирпич». За возможность снова пользоваться смартфоном или планшетом требуется выплатить выкуп, предоставив злоумышленникам коды двух 100-долларовых подарочных карт магазина iTunes. Оплата в таком виде весьма необычна для подобных атак. Как правило, вымогатели требуют выкуп в биткойнах или другой криптовалюте.

13 комментариев

Написать комментарий