СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Новости
Артем
09.10.2020
#Dev#ИБ

Новый Android-вымогатель выдает себя за МВД России

Новый Android-вымогатель выдает себя за МВД России

Корпорация Microsoft выпустила официальное предупреждение о распространении серьезного вымогательского ПО, действующего на Android-устройствах. Основной функционал вредоносной программы – вывод уведомлений с запиской о необходимости перечисления выкупа.

В случае с Android-устройствами вредоносное вымогательское ПО не шифрует пользовательские данные, а просто закрывают весь дисплей смартфона или планшета уведомлением с требованием заплатить деньги. Подобное уведомление крайне сложно убрать, поэтому пользователь не может нормально пользоваться своим устройствам.

В сообщении блога Microsoft говорится о том, что эта разновидность вредоносного ПО для мобильных устройств постоянно модернизируется. Начальные версии вымогательской программы использовали в своей работе специализированные возможности операционной системы Android (accessibility services), чему Google активно противодействует в последнее время, устраняя имеющиеся уязвимости, что не позволяет злонамеренно эксплуатировать легитимные функции ОС.

Обновленные версии вымогательского ПО, которые были зафиксированы Microsoft, применяют совершенно иной подход, из-за чего пользователям практически невозможно убрать закрывающее весь экран уведомление о требовании выкупа даже после перезагрузки устройства. В Microsoft новый вредонос детектируется как AndroidOS/MalLocker.B.

В новой вымогательской кампании киберпреступники действуют якобы от лица МВД России. Вредоносное ПО уведомляет пользователя, что он «неоднократно посещал сайты с видео, на котором демонстрируется детская порнография». Если в течение 24 часов штраф заплачен не будет, то нелицеприятная информация о пользователе будет направлена всем имеющимся на устройстве контактам:

Из фрагмента кода, который был предоставлен Microsoft, видно, что вредоносная программа создает конструктор уведомлений, а затем выполняет следующие действия:

  • setCategory («call») – это означает, что уведомление распознается как очень важное, требующее особых привилегий.
  • setFullScreenIntent () – этот API связывает уведомление с графическим пользовательским интерфейсом, чтобы оно всплывало, когда пользователь нажимает на него. На этом этапе с вредоносным ПО выполняется половина работы. Однако вредоносная программа не хочет зависеть от действий пользователя для запуска экрана вымогателя, поэтому она добавляет еще одну функцию обратного вызова Android:

Как видно из фрагмента кода, вредоносное ПО переопределяет функцию обратного вызова onUserLeaveHint () класса Activity. Функция onUserLeaveHint () вызывается каждый раз, когда экран вредоносной программы переводится в фоновый режим, в результате чего действие при вызове автоматически выводится на передний план.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: