Před několika týdny bezpečnostní řešení Check Point Mobile Threat Prevention detekovalo a zablokovalo novou hrozbu. Nic netušící uživatel stáhl a nainstaloval mobilní ransomware nultého dne z Google Play nazvaný jako „Charger“. Incident znovu ukazuje, jakou hrozbou je malware pro organizace a jak pokročilá detekce chování pomáhá vyplnit mezeru v mobilní bezpečnosti.
Ransomware byl nalezen v aplikaci EnergyRescue, která klade kontakty a SMS z uživatelského zařízení a snaží se získat administrátorská oprávnění. Pokud je uživatel udělí, Charger uzamkne zařízení a zobrazí zprávu požadující platbu. V českém překladu by zněla:
„Budete nám muset zaplatit, jinak prodáme každých 30 minut na černém trhu část vašich osobních informací. DÁVÁME VÁM 100% ZÁRUKU, ŽE VŠECHNY SOUBORY BUDOU OBNOVENÉ, JAKMILE OBDRŽÍME PLATBU. ODEMKNEME MOBILNÍ ZAŘÍZENÍ A SMAŽEME VŠECHNA VAŠE DATA Z NAŠEHO SERVERU! VYPNOUT TELEFON NEPOMŮŽE, VŠECHNA VAŠE DATA JSOU JIŽ ULOŽENA NA NAŠICH SERVERECH! MŮŽEME JE PRODAT NA SPAMOVÁNÍ, PODVODY, BANKOVNÍ ZLOČINY A PODOBNĚ. Shromažďujeme a stahujeme všechna vaše osobní data. Veškeré informace o vašich sociálních sítích, bankovních účtech, kreditních kartách. Shromažďujeme veškerá data o vašich přátelích a rodině.“
Výkupné bylo 0,2 bitcoinu (zhruba 180 dolarů), což je mnohem vyšší částka, než bylo doposud u mobilního ransomwaru běžné. Pro srovnání ransomware DataLust požadoval výkupné pouze 15 dolarů.
Podobně jako u jiných malwarů z minulosti, tak i Charger kontroluje lokální nastavení a nespustí škodlivé aktivity, pokud je přístroj lokalizován na Ukrajině, v Rusku nebo Bělorusku. Pravděpodobně aby se vývojáři vyhnuli stíhání ve svých vlastních zemích nebo vydání mezi zeměmi.
Malware využívá nejrůznější pokročilé techniky, aby skryl své skutečné záměry a bylo těžší jej detekovat:
– Kóduje řetězce do binárních polí, takže je obtížné je kontrolovat.
– Nahrává dynamicky kód z šifrovaných zdrojů, což většina detekčních technologií nezachytí. – Kód je zároveň zahlcen nesmyslnými příkazy, které maskují skutečné příkazy.
– Než spustí škodlivou činnost, zkontroluje, zda nedošlo ke spuštění v emulátoru. Tato technika byla poprvé použita počítačovým malwarem a v oblasti mobilního škodlivého kódu se stává trendem.
Zdroj: Check Point
