Ransomwarové útoky nie sú ničím novým. CryptoLocker, WannaCry a v Česku dobre známy Ryuk spôsobili obrovské škody organizáciám po celom svete. Nedávno sme informovali o útokoch na nemocnice a zdravotnícke zariadenia a hrozbe dvojitého vydierania. Ransomware sa ale stále často presúva aj do mobilného sveta. A veľmi rýchlo sa vyvíja, pretože kyberzločinci využívajú svoje skúsenosti s tradičným ransomwarem.
Príkladom je malware „Black Rose Lucy“, ktorý bol objavený v septembri 2018 kyberbezpečnostnou spoločnosťou Check Point. Lucy je MaaS (Malware-as-a-Service) botnet a umožňuje taktiež sťahovanie ďalších škodlivých kódov na zariadeniach so systémom Android. Teraz sa po takmer dvoch rokoch Lucy vracia s novými ransomwarovými funkciami, ktoré umožňujú prevziať kontrolu nad zariadením, vykonávať zmeny a inštalovať ďalšie škodlivé aplikácie.
Kyberbezpečnostná spoločnosť Check Point odhalila 80 vzoriek novej varianty práve Black Rose Lucy. Hrozba sa maskuje za neškodne vyzerajúce aplikácie pre prehrávanie videí a šíri sa hlavne prostredníctvom odkazov na sociálnych sieťach a v chatovacích aplikáciách.
Lucy používa rafinované metódy, ako oklamať užívateľa a preniknúť do zariadení so systémom Android:
- Šíri sa prostredníctvom sociálnych sietí a chatovacích aplikácií a maskuje sa ako aplikácia pre prehrávanie videí.
- Snaží sa prinútiť užívateľov, aby povolili službu Accessibility Service a predstiera, že tak povolí falošnú službu VSO pre optimalizáciu streamovania videí
- Udeľuje si administrátorské oprávnenia s využitím práve služby Accessibility Service.
- Šifruje súbory v zariadení a šifrovací kľúč uloží do zdieľaných predvolieb.
- Zobrazí výzvu k zaplateniu „pokuty“ od FBI a pre zaplatenie požaduje informácie o kreditnej karte.
Lucy je sofistikovaná hrozba, ktorá pochádza z Ruska. Akonáhle do zariadenia prenikne a získa nad ním kontrolu, dokončí šifrovanie požadovaných súborov a overí, že súbory boli úspešne zašifrované. Následne Lucy zobrazí v okne prehliadača správu so žiadosťou o výkupné. Výkupné sa maskuje ako oficiálna správa od FBI, ktorá obeť obviňuje z držania pornografického obsahu, kvôli čomu boli dáta zašifrované a zariadenie bolo uzamknuté. Správa ďalej uvádza, že podrobnosti o obeti boli nahrané do dátového centra FBI a pripojený je aj zoznam trestných činov, z ktorých je obeť obvinená. Obeť je vyzvaná k zaplateniu „pokuty“ vo výške 500 dolárov a poskytnutie informácií o platobnej karte. Poskytnutie informácií o platobnej karte je veľmi netradičné, pretože mobilný ransomware obvykle vyžaduje platbu v bitcoinoch.
„Sledujeme rýchly rozvoj mobilného ransomwaru. Mobilný malware je stále sofistikovanejší a efektívnejší. Útočníci totiž využívajú skúsenosti z predchádzajúcich kampaní. Napodobenie FBI je snahou užívateľov vystrašiť, vyvolať emócie a prinútiť ho rýchlo jednať. Očakávame, že skôr alebo neskôr zažije mobilný svet nejaký masívny a ničivý ransomwarový útok. Je to desivá, avšak veľmi reálna možnosť. Preto dôrazne varujeme, pri pozeraní videí na sociálnych sieťach sa radšej dvakrát zamyslite, než niečo prijmete alebo povolíte,“ hovorí Tomáš Vobruba, Security Engineer v spoločnosti Check Point. „Používajte pokročilé bezpečnostné riešenia a aplikácie sťahujte len z oficiálnych obchodov. Zároveň pravidelne aktualizujte svoj operačný systém a aplikácie.“
Viac informácií nájdete v analýze bezpečnostného tímu Check Point Research:
Thank you for your reading. Join the conversation by posting a comment.