Ransomware-ul Android care comunică prin mesaje vocale stoarce bani de la victime


Imaginați-vă o situație în care telefonul dvs. sau tableta cu platformă Android începe, în mod neașteptat, să vorbească cu dumneavoastră. O caracteristică nouă super cool, nu? Cu siguranță așa pare, este până când realizați că acea voce feminină care tocmai v-a “felicitat” transmite, de fapt, un mesaj cauzat de un ransomware de tip lockscreen. Iar dacă vorbiți limba chineză, atunci este ușor de înțeles că prețul cerut pentru deblocarea sistemului Android din smartphone-ul sau tableta victimă este setat la 40 de yuani (aproximativ 6$).

Un “membru” al familiei ransomware bine-cunoscute, Jisut (mai exact, Android/LockScreen.Jisut) a demonstrat recent aceste “competențe lingvistice”. ESET detectează și clasifică acest malware sub denumirea Android/Lockerpin, cu referință la cealaltă trăsătură distinctivă – abilitatea de a reseta codul PIN de protecție  pentru blocarea ecranului.

Acest ransomware Android  se răspândește prin intermediul unui dropper malițios utilizat pentru decriptare și pentru rularea sarcinii utile de atac. Procesul de infectare este activat după ce utilizatorul deschide manual aplicația malițioasă și apasă pe butonul “Apăsați pentru activare gratuită” din partea de jos a ecranului afișat.

Figura 1 Ransomware-ul vorbitor Jisut imită Lockerpin, schimbând codul PIN original al dispozitivului infectat pentru a bloca utilizatorul

Ulterior, victimei i se solicită să acorde drepturi de administrator pentru malware, ceea ce face dificilă eliminarea sau dezinstalarea aplicației. Mai mult decât atât, dispozitivul este blocat, iar mesajul vocal de răscumpărare începe să fie redat imediat după aceea.

Pe lângă acest tip de șantaj, varianta "vorbitoare" a ransomware-ului Jisut are și alte intenții – un exemplu fiind reprezentat de tentativa de obținere a datelor de autentificare ale utilizatorilor la rețeaua de socializare chinezească, QQ.

Malware-ul încearcă să păcălească utilizatorii prin afișarea unui ecran de autentificare fals, similar celui original utilizat de serviciul respectiv. Orice nume de utilizator sau parole introduse de către utilizator sunt trimise direct către atacator.

Această activitate este urmată de o cerere de răscumpărare, iar informațiile legate de modul în care trebuie procedat cu plata apar pe ecranul utilizatorului. Nu există nicio cale de ieșire: în cazul în care utilizatorul reușește cumva să oprească activitatea, lucrurile vor deveni și mai grave. Caracteristica proprie de securitate a dispozitivului – blocarea prin PIN – este resetată la un cod nou de intrare, necunoscut pentru victimă.

Figura 2 – Ecranul de autentificare fals pe rețeaua QQ, încercând să obțină datele de autentificare

Figura 3 – Blocarea ecranului este urmată de cererea de răscumpărare

Acest tip de blocare a ecranului și de comunicare vocala este întâlnit la una dintre cele mai noi variante din familia Jisut observate pe parcursul anului trecut, având un numărul total de detecții ESET dublat în comparație cu anul 2015. Cu toate acestea, nu toate variantele detectate solicitau bani victimelor. De fapt, unele au încercat doar să blocheze dispozitivul fără a cere o răscumpărare.

Variantele care cereau bani făceau adesea procesul de plată a răscumpărării mai facil și mai direct prin adăugarea unui cod QR, ce permiteau utilizatorului fie să trimită un mesaj către atacator, fie să facă o plată directă.

Majoritatea codurilor Jisuts a avut doar un efect vizibil – schimbarea wallpaper-ului de pe dispozitiv sau a activității sonore – redând un sunet pe fundal. Acest lucru întărește convingerea publicată anterior conform căreia acest ransomware nu a fost creat din motive pur financiare, ci ca o glumă.

Familia ransomware Jisut este cea mai răspândită în China și este, cel mai probabil, opera unei bande, căreia nu-i pasă prea mult de anonimat. Unele dintre cele mai sâcâietoare ecrane au inclus detalii de contact de pe rețeaua de socializare QQ și au cerut victimelor să contacteze autorii pentru a-și recupera fișierele. În cazul în care informațiile de la QQ sunt valide, operatorii acestui malware sunt tineri cu vârste cuprinse între 17 și 22 de ani.

Primele variante ale malware-ului Android/LockScreen.Jisut au început să apară în prima jumătate a anului 2014. De atunci, au fost detectate sute de variante ce afișează diferite mesaje de răscumpărare, bazate totuși pe același șablon de cod. În plus față de comportamentul ransomware-ului descris mai sus, unele variante sunt răspândite prin intermediul mesajelor text, care conțin un link URL ce conduce către codul malware, destinat tuturor contactelor din agenda utilizatorului.

Pentru a afla mai multe detalii legate de ransomware-ul Android, de tendințele sale actuale și de exemplele cele mai notabile începând din 2014 încoace, citiți cel mai recent raport de la ESET.

Cum să scăpați de Android/Lockscreen.Jisut

Există trei modalități de a scăpa de malware, dacă dispozitivul dvs. a fost infectat:

  1. Puteți accesa aplicația prin intermediul managementului de dispozitiv și să revocați manual drepturile de administrator, făcând posibilă dezinstalarea aplicației infectate. Cu toate acestea, există o hibă: trebuie să aveți o astfel de aplicație sau funcționalitate instalată pe dispozitiv, înainte de a fi afectați de malware.
  2. Dacă dispozitivului cu Android i s-a efectuat o rootare, puteți utiliza opțiunea Android Debug Bridge, făcând posibilă comunicarea cu smartphone-ul sau cu tableta prin intermediul liniei de comandă. Totuși, această opțiune este limitată la nivelul utilizatorilor avansați sau al dezvoltatorilor de Android.
  3. În ultimă instanță: o resetare de fabrică, ce aduce dispozitivul mobil la o stare complet funcțională, dar care, de asemenea, șterge conținutul său: imagini, clipuri video sau contacte.

Video

LUKAS STEFANKO

CORESPONDENT INDEPENDENT

oana March 17, 2017

Lasa un comentariu