Новое вымогательское ПО для Android маскируется под приложение «для взрослых»

image

Теги: Android, вредоносное ПО, вымогательское ПО, безопасность хранилищ данных

Вредонос фотографирует жертву, блокирует мобильное устройство и требует выкуп.

Эксперты компании Zscaler обнаружили новый вариант вымогательского ПО для мобильной платформы Android. С целью заставить жертву загрузить и установить его, вредонос маскируется под приложения для просмотра порнографических сайтов. Как только пользователь запускает Adult Player, приложение тайно фотографирует его c помощью камеры мобильного устройства, после чего выводит полученное изображение на экран с требованием выкупа в размере $500.

После открытия программа запрашивает права администратора. Затем появляется поддельная страница обновлений, которая на самом деле не устанавливает никаких апдейтов. Из своего внутреннего хранилища с помощью техники отражения вредонос загружает еще один файл APK - test.apk. Эта техника позволяет программе модифицировать поведение объекта во время запуска, а не компиляции. По мнению экспертов, таким образом приложение избегает статического анализа и обнаружения.

Вредоносное ПО подключается к содержащимся в приложении жестко закодированным доменам hxxp://directavsecurity[.]com, hxxp://avsecurityorbit[.]com, hxxp://protectforavno[.]net и hxxp://trustedsecurityav[.]net. Adult Player отсылает на удаленный сервер данные об устройстве жертвы и используемой ОС и получает от него страницу с фотографией жертвы и требованием выкупа в виде многократно зашифрованного ответа. Получив ответ от сервера, Adult Player блокирует телефон и выводит на экран страницу с требованием.

Adult Player не позволяет выключить мобильное устройство, а требование выкупа не исчезает с экрана даже после перезагрузки смартфона. Примечательно, что злоумышленники предлагают загрузить приложение не из официального магазина Google Play, а со стороннего сайта. Установившим Adult Player пользователям рекомендуется перезапустить свое устройство в безопасном режиме.  

Автор: Александр Антипов

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus