ИБ-аналитики обеспокоены волной Android-блокеров, маскирующихся под порноприложения; эксперты считают, что количество атак вскоре возрастет. Пользователям, пострадавшим от этих зловредов, приходится проходить через непростой процесс удаления вредоносной программы, чтобы восстановить доступ к функциям устройства.

Об атаке сообщили исследователи Dell SonicWALL; по их словам, пока безымянный блокер достаточно незрел, но имеет потенциал.

«Мы обнаружили более 100 различных приложений, зараженных этим зловредом; мы имеем все причины полагать, что его авторы готовятся к более масштабным действиям», — пояснил Алекс Дубровский (Alex Dubrovsky), директор по исследованию угроз в Dell.

В отличие от других блокеров, например ICE, Jisut и Cyber.Police, образец, найденный командой Dell, пока не просит выкуп.

Явно прослеживается связь между зловредом и порносайтами. Пользователям предлагают скачать порноприложение через ссылку или SMS, после чего потенциальную жертву перенаправляют на сторонний магазин приложений. После того как пользователь загружает программу, она запрашивает администраторские права в системе.

Если пользователь открывает приложение или системные настройки, ему демонстрируется экран, который, очевидно, призван блокировать доступ к функциям смартфона, пока жертва не заплатит выкуп. Обойти блокировку довольно легко: нужно нажать на кнопку «Домой» или «Последние приложения», рассказывают специалисты SonicWALL в блоге.

В настоящий момент, как подчеркивает Дубровский, у злоумышленников пока не подключена инфраструктура. Также они еще не пытались исполнить вредоносный код или получить контроль над зараженным устройством. Однако, предупреждают эксперты, «как только приложение запускается, зашифрованные данные передаются на множество доменов в фоновом режиме».

Дубровский отметил, что его команда до сих пор анализирует код зловреда и передаваемые данные могут быть персональными, но он пока не уверен в этом. «Это, судя по всему, бета-версия, которую злоумышленники тестируют и адаптируют в реальном времени. Многие из традиционных инструментов блокера пока не работают», — говорит Дубровский.

Что уже известно о новом блокере — это то, что от него очень трудно избавиться. «Если Android-устройство заражено вредоносной программой с правами администратора, то удалить его трудно, так как кнопка «Удалить» становится неактивной», — добавили в SonicWALL.

Как объясняют в Dell, способ избавиться от приложения, запустив устройство в безопасном режиме, в этом случае не работает. Как только смартфон переходит в безопасный режим, зловред блокирует настройки системы, из-за чего удалить его невозможно. Альтернативное решение — запустить инструмент разработчика Android Debug Bridge. Другой вариант для не слишком искушенных пользователей — сбросить настройки Android до заводских.

«В целом все выглядит так, как будто авторы зловреда пока только тестируют его, и поэтому некоторые функции не доработаны, из-за чего блокировку можно обойти, — говорят в Dell. — Учитывая количество вредоносных приложений в этой кампании, в ближайшее время она может быть дополнена новыми компонентами».

Дубровский сказал, что исследователи ждут появления более зрелых вариантов блокера, которые будут более сложными и начнут требовать выкуп за разблокировку как с любителей порноконтента, так и с другой, более широкой аудитории, под которую может подстроиться кампания.

Категории: Аналитика, Вредоносные программы