Οι μηχανικοί της ESET εντόπισαν για πρώτη φορά ένα νέο, επικίνδυνο trojan που απειλεί συσκευές Android. Το ransomware, με την ονομασία Android/Simplocker, σαρώνει την κάρτα SD αναζητώντας συγκεκριμένους τύπους αρχείων, τα κρυπτογραφεί και στη συνέχεια ζητά λύτρα για την αποκρυπτογράφησή τους.
Όσο πραγματοποιείται η κρυπτογράφηση, στην οθόνη της συσκευής εμφανίζεται το παρακάτω μήνυμα (Εικόνα 1), το οποίο, στα ρώσικα, ενημερώνει τον χρήστη του Android ότι η συσκευή του έχει παραβιαστεί και απαιτούνται 260 Hryvnia Ουκρανίας (περίπου 16 ευρώ) για να επανακτήσει τον έλεγχό της. Το Android/Simplocker.A σαρώνει την κάρτα SD (Εικόνα 2) για αρχεία jpeg, jpg, png, bmp, gif, pdf, doc, docx, txt, avi, mkv, 3gp, mp4 και θα τα κρυπτογραφήσει με τη χρήση AES.
Παράλληλα, θα στείλει στο δικό του Command & Control server ανιχνεύσιμες πληροφορίες από τη συσκευή (όπως IMEI, κτλ). Ενδιαφέρον παρουσιάζει το γεγονός ότι ο server φιλοξενείται σε ένα domain TOR .onion (Εικόνα 3) για λόγους προστασίας και διατήρησης της ανωνυμίας.
Το παράδοξο, συγκριτικά με προηγούμενα παραδείγματα των ransomware σε Windows, είναι ότι δεν υπάρχει πεδίο εισαγωγής κωδικού για επιβεβαίωση της πληρωμής, αντιθέτως, το κακόβουλο λογισμικό υπακούει σε εντολή του διακομιστή C&C για να αποκρυπτογραφήσει τα αρχεία, πιθανότατα αφού πραγματοποιηθεί η πληρωμή.
Οι ειδικοί της ESET έχουν αναλύσει δείγμα της επίθεσης υπό τη μορφή μίας εφαρμογής που ονομάζεται « Xionix Sex». Η εφαρμογή δεν βρέθηκε στο επίσημο Google Play, γεγονός που, σύμφωνα με τις εκτιμήσεις τους, σημαίνει ότι η εξάπλωσή της είναι ακόμη πολύ μικρή. Ωστόσο, το κακόβουλο λογισμικό είναι πλήρως ικανό να κρυπτογραφήσει τα αρχεία του χρήστη, τα οποία μπορεί να χαθούν αν δεν ανακτηθεί το κλειδί κρυπτογράφησης. Καθώς το κακόβουλο λογισμικό δεν διαθέτει τη λειτουργικότητα για να αποκρυπτογραφήσει τα αρχεία, η ESET συμβουλεύει τους χρήστες να μην προχωρούν στην πληρωμή των λύτρων, αφού δεν υπάρχει καμία εγγύηση ότι οι κυβερνοεγκληματίες θα κρατήσουν το λόγο τους και θα αποκρυπτογραφήσουν τα δεδομένα. Αντιθέτως, παροτρύνει τη χρήση ισχυρών λύσεων, όπως το ESET Mobile Security, για τη θωράκιση της συσκευής Android, και backup των δεδομένων, αφού έτσι ο χρήστης δεν κινδυνεύει να χάσει κανένα αρχείο από κανένα Filecoder trojan.
Επεξεργάστηκε την 5 Ιουνίου 2014 14:38
Χρησιμοποιούμε cookies για να παρέχουμε την καλύτερη δυνατή εμπειρία.
Σχόλια
Σαν να είναι δημιούργημα ο ιός της ESET, Και το έκανε μήπως και πουλήσει κανένα αντιβιοτικό.
Πολλές φορές το έχω σκεφτεί αυτό για τις εταιρείες antivirus...
Ο λιακοπουλος έχει απαντήσει και γι'αυτό :-)
Για αυτο lg g2 no sd card:P
Να ρωτήσω;μονο τα android προσβαλλονται απο ιούς ή και οι ios συσκευές(iPhones);ρωτάω γιατι εχω ακούσει πως τα ios δεν έχουν τέτοιου είδους προβλήματα.ισχύει;
Ρωτάω γενικά απο ιούς,όχι μονο απο τον συγκεκριμένο..
ΥΓ.ρωταω πληροφοριακά και όχι για να δημιουργήσω κόντρες(οπως γίνεται συνήθως).χρήστης και των δυο λογισμηκων.
@ Lefteris η απουσια sd slot δεν σημαινει οτι την γλυτωνεις , το λειτουργικο συστημα ( αρα και ο ιός ) βλεπουν ολα τα αποθηκευτικα μεσα ως : /dev/sda(x) - οπου x ενας ακεραιος που δηλωνει/διαφοροποιει το καθε αποθηκευτικο μεσο
Ενα backup κρίσιμων αρχείων, στο pc, είναι επιβεβλημένο.
Όπως και αποθήκευση των backups που δημιουργούμε με κάποια custom recovery, επισης.
Προαιρετικά, για παν ενδεχόμενο.
Υπήρξε περιστατικό στην Αυστραλία μέσω του find my phone , που πολλοί κάτοχοι βρέθηκαν με τηλ κλειδωμένα από hacker που ζήταγε χρήματα , τα πάντα είναι ευάλωτα απλώς το Android έχει κάποια εκατομμύρια παραπάνω χρήστες και είναι λογικό να είναι ο νούμερο ένα στόχος.
Είναι πολύ εύκολο να λέμε κάτι του τύπου:
"Σαν να είναι δημιούργημα ο ιός της ESET, Και το έκανε μήπως και πουλήσει κανένα αντιβιοτικό"
Κάτι τέτοιο όμως δεν ισχύει.
Στην πραγματικότητα ένα Virus/Malware οποιασδήποτε μορφής είναι απλά κώδικας.
Κώδικα μπορεί να γράψει οποιοσδήποτε έχει μάθει κάποια γλώσσα προγραμματισμού. Άρα "κακόβουλο κώδικα" μπορεί να γράψει π.χ. ένα έφηβος για εξάσκηση ή "πλάκα" ή κάποιος πιο έμπειρος προγραμματιστής, για να δείξει τις ικανότητες του, για να βλάψει/χτυπήσει συγκεκριμένα συστήματα, να εξαπατήσει απλούς χρήστες και να βγάλει λεφτά.
H συγκεκριμένη επίθεση (ransomware) αποτελεί κάτι που εξελίσσεται εδώ και 3 χρόνια στον κόσμο των υπολογιστών καθώς οι προγραμματιστές του τον τροποποιούνε συνεχώς και από ένα άρθρο που είχα διαβάσει στο internet σας μεταφέρω την πληροφορία ότι η συγκεκριμένη απάτη μόνο για το έτος 2012 έκανε τζίρο πάνω από 10.000.000€ παρά το γεγονός ότι την ίδια χρονιά η Interpol συνέλαβε 20 άτομα ουκρανο-ρωσικής καταγωγής + 1 στην Ισπανία + 1 στα Ηνωμένα Αραβικά Εμιράτα.
Επίσης να αναφέρω ότι το ESET καθημερινά βγάζει minimum 3 updates μέσα στην ημέρα αλλά υπάρχουν και πολλές μέρες όπου βγάζει 4 updates. To κάθε update περιέχει κατά μέσο όρο 50 signatures.
Άρα κάνοντας ένα γρήγορο υπολογισμό 3 updates την ημέρα x 50 signatures ανά update x 365 μέρες (3 x 50 x 365 = 54750) μιλάμε για περίπου 54750 αρχεία κακόβουλου κώδικα το χρόνο κατά μέσο όρο. Νούμερο που από μόνο του δείχνει ότι η ESET αλλά και οι υπόλοιπες εταιρίες antivirus δεν έχουν ανάγκη να γράψουν κακόβολο κώδικα καθώς οι απατεώνες ανά τον κόσμο κάθε τόσο ανακαλύπτουν νέες τρόπους κυνηγώντας το εύκολο χρήμα.
Τέλος για όσους θέλουν από το παρακάτω link μπορούν να διαβάσουν περισσότερα για το άτομο που καταζητεί το FBI ως ο υπεύθυνος οργάνωσης της συγκεκριμένης απάτης/επίθεσης:
https://www.welivesecurity.com/2014/06/03/cyber-crime-gameover-zeus-cryptolocker-bogachev-most-wanted/