Новый Android-вымогатель выдает себя за МВД России

Дата: 09.10.2020. Автор: Артем П. Категории: Новости по информационной безопасности
Новый Android-вымогатель выдает себя за МВД России

Корпорация Microsoft выпустила официальное предупреждение о распространении серьезного вымогательского ПО, действующего на Android-устройствах. Основной функционал вредоносной программы – вывод уведомлений с запиской о необходимости перечисления выкупа.

В случае с Android-устройствами вредоносное вымогательское ПО не шифрует пользовательские данные, а просто закрывают весь дисплей смартфона или планшета уведомлением с требованием заплатить деньги. Подобное уведомление крайне сложно убрать, поэтому пользователь не может нормально пользоваться своим устройствам.

В сообщении блога Microsoft говорится о том, что эта разновидность вредоносного ПО для мобильных устройств постоянно модернизируется. Начальные версии вымогательской программы использовали в своей работе специализированные возможности операционной системы Android (accessibility services), чему Google активно противодействует в последнее время, устраняя имеющиеся уязвимости, что не позволяет злонамеренно эксплуатировать легитимные функции ОС.

Обновленные версии вымогательского ПО, которые были зафиксированы Microsoft, применяют совершенно иной подход, из-за чего пользователям практически невозможно убрать закрывающее весь экран уведомление о требовании выкупа даже после перезагрузки устройства. В Microsoft новый вредонос детектируется как AndroidOS/MalLocker.B.

В новой вымогательской кампании киберпреступники действуют якобы от лица МВД России. Вредоносное ПО уведомляет пользователя, что он «неоднократно посещал сайты с видео, на котором демонстрируется детская порнография». Если в течение 24 часов штраф заплачен не будет, то нелицеприятная информация о пользователе будет направлена всем имеющимся на устройстве контактам:

Новый Android-вымогатель выдает себя за МВД России

Из фрагмента кода, который был предоставлен Microsoft, видно, что вредоносная программа создает конструктор уведомлений, а затем выполняет следующие действия:

Новый Android-вымогатель выдает себя за МВД России
  • setCategory («call») – это означает, что уведомление распознается как очень важное, требующее особых привилегий.
  • setFullScreenIntent () – этот API связывает уведомление с графическим пользовательским интерфейсом, чтобы оно всплывало, когда пользователь нажимает на него. На этом этапе с вредоносным ПО выполняется половина работы. Однако вредоносная программа не хочет зависеть от действий пользователя для запуска экрана вымогателя, поэтому она добавляет еще одну функцию обратного вызова Android:
Новый Android-вымогатель выдает себя за МВД России

Как видно из фрагмента кода, вредоносное ПО переопределяет функцию обратного вызова onUserLeaveHint () класса Activity. Функция onUserLeaveHint () вызывается каждый раз, когда экран вредоносной программы переводится в фоновый режим, в результате чего действие при вызове автоматически выводится на передний план.

Артем П

Об авторе Артем П

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *