Malware “Charger” nowym zagrożeniem w Google Play

Kilka tygodni temu, Mobile Threat Prevention – system firmy Check Point, zabezpieczający urządzenia mobilne, wykrył i poddał kwarantannie aplikację na telefonie z systemem Android jednego z pracowników pewnego przedsiębiorstwa.

Jak się okazało, ściągnął on i zainstalował na swoim urządzeniu mobilny ransomware typu „0-day” pochodzący bezpośrednio ze sklepu Google Play. Ten incydent pokazuje, jak wielkim zagrożeniem dla firmy może być szkodliwe oprogramowanie.



„Charger”, bo tak nazwany został nowy typ ransomware, został osadzony w aplikacji o nazwie EnergyRescue. Zrażona aplikacja kradnie kontakty oraz SMS-y z zaatakowanego urządzenia oraz prosi o przyznanie uprawnień administratorskich. Jeśli prośba zostanie zaakceptowana przez użytkownika, ransomware blokuje urządzenie i wyświetla komunikat z żądaniem zapłaty.

Ransomware żąda opłaty wysokości 0,2 Bitcoinów (około 750zł), która jest zdecydowanie wyższa niż dotychczasowe żądania okupu w przypadku mobilnego ransomware – dla porównania, ransomware DataLust oczekiwał opłaty w wysokości 15$ (ok. 60zł). Opłaty miały zostać przekazywane na specjalne konto Bitcoin, jednak firma Check Point, jak do tej pory, nie odnotowała żadnych opłat.

O ile najczęstszy malware – Adware – powszechnie spotykany w sklepie Play zbiera zyski ze zwykle niegroźnych sieci reklamowych, o tyle ransomware może zadawać bezpośrednie szkody użytkownikom i przedsiębiorstwom. Podobnie jak FakeDefender i DataLust, Charger może być wskaźnikiem coraz większego wysiłku programistów mobilnych, w celu dogonienia swoich odpowiedników tworzących ransomware na komputery osobiste.

Podobnie do innych typów malware odnotowanych w przeszłości, Charger sprawdza lokalne ustawienia urządzenia i nie uruchamia się w przypadku urządzeń zlokalizowanych w Ukrainie, Rosji czy Białorusi.

Większość malware znalezionego w Google Play, zawiera jedynie dropper, który ściąga właściwy malware na urządzenie. Jednak Charger wykorzystuje kilka zaawansowanych technik, pozwalających ukryć swoje prawdziwe oblicze i sprawiających, że jest trudny do wykrycia. M.in. ciągi znaków tekstowych kodowane są binarnie, co powoduje, że są trudniejsze w analizie, natomiast kod ładowany jest dynamicznie z zaszyfrowanych zasobów, których większość silników detekcji nie może skontrolować. Dynamicznie ładowany kod zalewany jest również bezsensownymi komendami, które maskują rzeczywiste polecenia. Co ciekawe, Charger sprawdza również czy jest uruchomiony w emulatorze zanim rozpocznie swoją szkodliwą działalność.

Dział analiz i reagowania w firmie Check Point przedstawił swoje ustalenia zespołowi ds. bezpieczeństwa Androida, który podjął odpowiednie kroki bezpieczeństwa, by usunąć zainfekowaną aplikację i dodać ten tym malware do wbudowanego systemu ochrony Androida.

Źródło: Informacja prasowa

You may also like...