[You must be registered and logged in to see this image.]Рансъмуер заплахите са кошмар за потребителите на персонални компютри, но не са само те засегнатите. Още от съживяването на криптокошмара преди четири години, киберпрестъпници успяват
успешно да прокарат заплахата и към потребителите на мобилни устройства. Нужно е да се отбележи обаче, че докато компютърните потребители стават жертва най-вече на
крипторансъмуер – заплаха, която криптира файловете, а авторите ѝ искат откуп за повторния достъп на потребителите до тях, то мобилните потребители стават жертва основно на по-простия вариант на рансъмуер заплахите, които преди няколко години заплашваха десктоп потребителите – зловредни програми, които попречват на потребителя да използва системата си и искат откуп, за да може той да върне достъпа си до него. Пример за този тип заплахи е т.нар. „
полицейски вирус“, който покрива десктопа на компютъра, или в случая с мобилното устройство – неговия дисплей и искат от потребителя откуп, като се представят за представители на закона.
Според редовния доклад на
словашката компания за информационна сигурност ESET, мобилният рансъмуер (както криптомалуера, така и „полицейските вируси“) бележи ръст през миналата година с 50% спрямо 2015г.
Макар и в последните години да е била регистрирана миграция на атаките от Източна Европа към САЩ, то през миналата година, авторите на този тип заплахи са обърнали особено внимание на азиатските потребители на мобилни устройства с Android (докладът разглежда заплахите към Android-б.а.).
Авторите на доклада отбелязват, че създателите на мобилен рансъмуер продължават да имитират техники от десктоп зловредите, но вече започват да създават и свои специфични методи за писане на приложенията, възползващи се от спецификата на мобилната платформа. Освен това, подобно и на десктоп рансъмуерът и тук има опит за самозащита на зловредния код, което да попречи на анализа му и по-добре да скрие присъствието му.
Какви са векторите на разпространение?
Най-често рансъмуерът идва във вид на троянизирана програма, имититраща популярно приложение – най—често игра или порно апликация. В някои случаи това е изцяло вредна програма, като използва само иконата на оригиналното приложение и името му, но понякога това е оригиналното приложение с вградена зловредна функционалност. Вторият метод е успешно използван и от авторите на зловредни приложения, които крадат данни от устройството, като потребителят бива заблуден, че няма нищо съмнително. Освен това вече се регистрират и случаи, при които те се разпространяват чрез фишинг електронни писма, в които има връзка за сваляне зловреден APK файл – отново метод, използван и от авторите на десктоп заплахи.
След успешната инсталация, рансъмуерът се свързва с команден сървър и изпълнява различни зловредни действия, сред които: изтриване на данни, промяна на кода за достъп на заключващия екран, откриване на страница в браузъра, на която се помещава зловреден код, кражба на данни, представяне на рансъмуер бележка, включване на мобилния пренос на данни и др.
Една от последните рансъмуер варианти, насочени към потребителите на Android е Lockerpin, който след инсталирането си поема администраторски контрол над устройството. Той е снабден с механизъм за самозащита, който не позволява на потребителя да снеме пълните му права, като след едно такова действие, той реактивира властта си над устройството. Освен това, заплахата се опитва да деактивира антивирусно решение, инсталирано на системата.
Притеснително е, че една от рансъмуер заплахите, които докладът разглежда е успяла да си пробие път и в Google Play. Става дума за Charger. Заплахата е засечена в началото на тази година и идва
под прикритието на приложение за пестене на батерията на устройството с името
EnergyRescue. Освен рансъмуер функционалността му със заключване на устройството и искане на откуп в размер на BTC0.2, той има и спайуер функционалности.
Какво може да ви спаси от бедствието на рансъмуер заплахата? Разбира се, на първо място е да избягвате свалянето на апликации от сенчести магазини, макар че както видяхме, в случая с Charger, и Google Play не е защитен понякога. Другото решение е правеното на архив на данните ви редовно. Ако все пак станете жертва на рансъмуер атака и тя е в обикновения си вариант – без използване на криптиране – рестартирането на устройтвото и влизането в Safe Mode може да се окаже работещо решение. В този режим се зареждат само основните процеси на системата и деинсталирането може да се окаже безпроблемна операция. Ако пък заплахата е заключила устройството, използването на Android Device Manager може да е от полза. И разбира се връщането на „заводските“ настройки може да ви спаси. При крипторансъмуер заплахите нещата са по-сложни, но и тук може да има решение. Но тук трябва да се потърси помощта на специалист.
Пълните наблюдения от доклада може да видите тук (pdf).
/kaldata.com