Charger - nowe zagrożenie w Google Play
Kilka tygodni temu wykryto kolejną szkodliwą aplikację dla systememu Android. Jest to mobilny ransomware (oprogramowanie żądające okupu za odblokowanie np. plików) typu „0-day” pochodzący bezpośrednio ze sklepu Google Play.
Charger, bo tak nazwany został nowy typ ransomware, został osadzony w aplikacji o nazwie EnergyRescue. Zarażona aplikacja kradnie kontakty oraz SMS-y z zaatakowanego urządzenia oraz prosi o przyznanie uprawnień administratorskich. Jeśli prośba zostanie zaakceptowana przez użytkownika, ransomware blokuje urządzenie i wyświetla komunikat z żądaniem zapłaty.
Ransomware żąda opłaty wysokości 0,2 Bitcoinów (około 750 zł), która jest zdecydowanie wyższa niż dotychczasowe żądania okupu w przypadku mobilnego ransomware - dla porównania, ransomware DataLust oczekiwał opłaty w wysokości 15 dol. (ok. 60 zł). Opłaty miały zostać przekazywane na specjalne konto Bitcoin, jednak firma Check Point, jak do tej pory, nie odnotowała żadnych opłat.
O ile najczęstszy malware – Adware – powszechnie spotykany w sklepie Play zbiera zyski ze zwykle niegroźnych sieci reklamowych, o tyle ransomware może zadawać bezpośrednie szkody użytkownikom i przedsiębiorstwom. Podobnie jak FakeDefender i DataLust, Charger może być wskaźnikiem coraz większego wysiłku programistów mobilnych, w celu dogonienia swoich odpowiedników tworzących ransomware na komputery osobiste.
Podobnie do innych typów malware odnotowanych w przeszłości, Charger sprawdza lokalne ustawienia urządzenia i nie uruchamia się w przypadku urządzeń zlokalizowanych w Ukrainie, Rosji czy Białorusi.
Większość malware znalezionego w Google Play, zawiera jedynie dropper, który ściąga właściwy malware na urządzenie. Jednak Charger wykorzystuje kilka zaawansowanych technik, pozwalających ukryć swoje prawdziwe oblicze i sprawiających, że jest trudny do wykrycia. M.in. ciągi znaków tekstowych kodowane są binarnie, co powoduje, że są trudniejsze w analizie, natomiast kod ładowany jest dynamicznie z zaszyfrowanych zasobów, których większość silników detekcji nie może skontrolować. Dynamicznie ładowany kod zalewany jest również bezsensownymi komendami, które maskują rzeczywiste polecenia. Co ciekawe, Charger sprawdza również czy jest uruchomiony w emulatorze zanim rozpocznie swoją szkodliwą działalność.
Dział analiz i reagowania w firmie Check Point przedstawił swoje ustalenia zespołowi ds. bezpieczeństwa Androida, który podjął odpowiednie kroki bezpieczeństwa, by usunąć zainfekowaną aplikację i dodać ten tym malware do wbudowanego systemu ochrony Androida.