Koronapanika! Ransomware udający aplikacje do monitorowania infekcji

2020-04-01 15:20:00

Trwająca pandemia Covid-19 stworzyła idealne warunki dla twórców złośliwego oprogramowania. Wiele osób żyję w stresie i obawie przed szalejącym wirusem. Ten stan bezlitośnie próbują wykorzystać przestępcy biorąc za cel swoich ataków smartfony.

Cyberprzestępcy często wykorzystują sytuacje kryzysowe do kradzieży danych lub pieniędzy. W opisywanym przypadku ransomware szyfruje pliki na urządzeniach mobilnych. Perfide to aplikacja służąca jako „narzędzie do śledzenia infekcji Koronawirusem w czasie rzeczywistym”, a za którą tak naprawdę kryje się złośliwe oprogramowanie szyfrujące. 

Jeżeli użytkownik skusi się obietnicą otrzymywania najświeższych informacji dotyczących pandemii to w niedługim czasie po instalacji otrzyma zaskakującą wiadomość. Jest to informacja z żądaniem okupu w wysokości 100$ za odszyfrowanie danych zaatakowanego użytkownika. Na szczęście dla poszkodowanych istnieje kod deszyfrujący, który ponownie udostępnia dane. Kod tego konkretnego oprogramowania ransomware to 4865083501

Skąd ten boom?

W niecodziennej sytuacji, takiej jak obecny korona kryzys, łatwiej niż zwykle wzbudzić zainteresowanie. Złośliwa aplikacja, zainfekowany załącznik e-mail lub zmanipulowana witryna bez trudności trafiają do przerażonych odbiorców.  Strach jest jednym z najgorszych doradców, użytkownicy pod jego wpływem nie postępują rozważnie i racjonalnie, ale impulsywnie i bezmyślnie.

Szczególnie w połączniu z obecnie panująca pandemią, kiedy wiele osób poszukuje informacji na jej temat. Każdy kto dostarczy rzekomo „najbardziej aktualne” lub „ekskluzywne” informacje, trafi na podatny grunt i znajdzie idealne warunki do zainfekowania ich odbiorców.

Jak działa mobilne oprogramowanie ransomware  „Corona”?

Twórcy omawianej złośliwej kampanii nie wykazali się ponadprzeciętnym poziomem wyrafinowania Proces jest maksymalnie uproszczony i skupiony na określonym celu. Po pierwsze twórcy ominęli oficjalny kanał dystrybucji aplikacji na Androida i nie opublikowali swojej apki w oficjalnym sklepie Google Play. Udostępniając pobieranie ze specjalnie przygotowanej strony uniknęli ewentualnego wykrycia złośliwego kodu przez filtry Google. Twórcy reklamując swoją aplikację obiecują między innymi możliwość śledzenia infekcji „w czasie rzeczywistym”, a nawet informują o możliwości ostrzeżenia jej użytkownika, jeśli w pobliżu znajdzie się zarażona osoba (sic!). Ponadto, zanim użytkownik będzie mógł zainstalować aplikację, musi najpierw wyraźnie aktywować instalację aplikacji z niezaufanych źródeł w ustawieniach bezpieczeństwa.

Kolejnym zabiegiem umożliwiającym bezproblemowe działanie ransomware na zainfekowanym urządzeniu jest prośba o nadanie aplikacji konkretnych uprawnień. Przestępcy licz, że użytkownik, który zainstalował aplikację ze strachu lub niepewności, zgodzi się na wszystko. Po pierwsze aplikacja pyta o dostęp do ekranu blokady oraz funkcji ułatwień dostępu w Androidzie. Dzięki temu wybiegowi uzyskuje możliwość obejścia pewnych środków bezpieczeństwa zastosowanych w Androidzie. Dzięki czemu w późniejszym czasie ransomware może zablokować ekran i wyświetlić informacje o okupie. Następnie użytkownik jest pytany, czy aplikacja może być aktywna w tle, nawet jeśli ustawienia oszczędzania energii uniemożliwiają działanie aplikacji w tle. Innymi słowy przy wszystkich tych zapytaniach aplikacja zabezpiecza sobie prawa administratora urządzenia.

Aktualnie opisywane oprogramowanie ransomware jest bardzo proste i niezbyt wyrafinowane. Wykorzystuje szyfrowanie symetryczne, w którym używane jest jedno hasło. Przestępcy lub ich naśladowcy mogą to jednak zmienić bardzo łatwo w ewentualnych przyszłych wersjach.

Fake newsy i malware to jest teraz na czasie!

Obecna sytuacja to idealne warunki dla wszelkiej maści trolów, agitatorów, kłamców no i last but not least – twórców złośliwego oprogramowania. Fałszywe raporty, szokujące i ekskluzywne wiadomości z ostatniej chwili czy aplikacje rzekomo pomagające nam się chronić przed zagrożeniem wirusem pojawiają się jak grzyby po deszczu. W internecie radzimy kierować się znaną z dróg zasadą o ograniczonym zaufaniu. Nie traktujmy wszelkim serwowanych nam informacji jako w 100% prawdziwych i sprawdzajmy różne, najlepiej uznane źródła informacji jak strony newsowe dużych wydawców i strony rządowe.

4 rady które każdy powinien wziąć sobie do serca w czasach Korony

  • Uzyskuj informacje o pandemii i same aplikacje z nią powiązane jak mapy infekcji tylko z oficjalnych źródeł.
  • Plotki przesyłane komunikatorami internetowymi takie jak słynna już „matka kolegi pracuje w ministerstwie…”nie są, nigdy nie były i nie będą źródłem wiarygodnych informacji. Dobrym i sprawdzonym źródłem informacji są serwisy:
  • Nigdy nie dawaj się namówić na natychmiastowe działanie lub podjęcie jakichkolwiek działań w odpowiedzi na wiadomość mailową lub przesłaną przez komunikator. Nie ma znaczenia czy zostaniesz poproszony o instalacje aplikacji czy też będzie to porada nt. gromadzenia papieru toaletowego czy makaronu.
  • Zainstaluj odpowiednie oprogramowanie ochronne na swoich urządzeniach mobilnych jak i stacjonarnych.

Media:

Kontakt

G DATA Software Sp. z o.o.
Warcisława IV 2
78-400 Szczecinek

Telefon: +48 94 37 29 650
E-Mail: sales@remove-this.gdata.pl