Na sociálních sítích a v chatovacích aplikacích se šíří ruský mobilní ransomware
29.04.2020
Na sociálních sítích a v chatovacích aplikacích se šíří ruský mobilní ransomware

Ransomwarové útoky nejsou ničím novým. CryptoLocker, WannaCry a v Česku dobře známý Ryuk způsobily obrovské škody organizacím po celém světě. Nedávno jsme informovali o útocích na nemocnice a zdravotnická zařízení a hrozbě dvojitého vydírání. Ransomware se ale také stále častěji přesouvá i do mobilního světa. A velmi rychle se vyvíjí, protože kyberzločinci využívají své zkušenosti s tradičním ransomwarem.

Příkladem je malware „Black Rose Lucy“, který byl objeven v září 2018 kyberbezpečnostní společností Check Point. Lucy je MaaS (Malware-as-a-Service) botnet a umožňuje také stahování dalších škodlivých kódů na zařízeních se systémem Android. Nyní se po téměř dvou letech Lucy vrací s novými ransomwarovými funkcemi, které umožňují převzít kontrolu nad zařízením, provádět změny a instalovat další škodlivé aplikace.

Kyberbezpečnostní společnost Check Point nyní odhalila 80 vzorků nové varianty právě Black Rose Lucy. Hrozba se maskuje za neškodně vypadající aplikace pro přehrávání videí a šíří se hlavně prostřednictvím odkazů na sociální sítích a v chatovacích aplikacích.

Lucy používá rafinované metody, jak obelstít uživatele a proniknout do zařízení se systémem Android:
1. Šíří se prostřednictvím sociálních sítí a chatovacích aplikací a maskuje se jako aplikace pro přehrávání videa.
2. Snaží se přimět uživatele, aby povolil službu Accessibility Service a předstírá, že tak povolí falešnou službu VSO pro optimalizaci streamování videa.
3. Uděluje si administrátorská oprávnění s využitím právě služby Accessibility Service. 
4. Šifruje soubory v zařízení a šifrovací klíč uloží do sdílených předvoleb.
5. Zobrazí výzvu k zaplacení „pokuty“ od FBI a pro zaplacení požaduje informace o kreditní kartě.

Lucy je sofistikovaná hrozba, který pochází z Ruska. Jakmile do zařízení pronikne a získá nad ním kontrolu, dokončí šifrování požadovaných souborů a ověří, že soubory byly úspěšně zašifrovány. Následně Lucy zobrazí v okně prohlížeče zprávu se žádostí o výkupné. Výkupné se maskuje jako oficiální zpráva od FBI, která oběť obviňuje z držení pornografického obsahu, kvůli čemuž byla data zašifrována a zařízení bylo uzamčeno. Zpráva dále uvádí, že podrobnosti o oběti byly nahrány do datového centra FBI a připojen je i seznamem trestných činů, z jejichž spáchání je oběť obviněna. Oběť je vyzvána k zaplacení „pokuty“ ve výši 500 dolar a poskytnutí informací o platební kartě. Poskytnutí informací o platební kartě je velmi netradiční, protože mobilní ransomware obvykle vyžaduje platbu v bitcoinech.

„Sledujeme rychlý rozvoj mobilního ransomwaru. Mobilní malware je stále sofistikovanější a efektivnější. Útočníci totiž využívají zkušenosti z předchozích kampaní. Napodobení FBI je snahou uživatele vystrašit, vyvolat emoce a přimět ho rychle jednat. Očekáváme, že dříve nebo později zažije mobilní svět nějaký opravdu masivní a ničivý ransomwarový útok. Je to děsivá, ovšem velmi reálná možnost. Proto důrazně varujeme, při prohlížení videí na sociálních sítích se raději dvakrát zamyslete a podívejte, než něco přijmete nebo povolíte,“ říká Petr Kadrmas, Security Engineer Eastern Europe ve společnosti Check Point. „Používejte pokročilé bezpečnostní řešení a aplikace stahujte pouze z oficiálních obchodů. Zároveň pravidelně aktualizujte svůj operační systém a aplikace.“

Více informací najdete v analýze bezpečnostního týmu Check Point Research:
https://research.checkpoint.com/2020/lucys-back-ransomware-goes-mobile/