Хакеры блокируют старые Android-устройства и требуют выкуп в виде подарочных карт iTunes

Эксперт компании Blue Coat Эндрю Брандт (Andrew Brandt) сообщил о новом методе атак на Android-смартфоны и планшеты. По словам исследователя, для заражения мобильных устройств вымогательским ПО злоумышленники используют набор эксплоитов.

«Впервые на моей памяти набор эксплоитов успешно устанавливает вредоносные приложения на мобильное устройство без каких-либо действий со стороны пользователя», - отметил Брандт.

Исследователь обнаружил новый метод атак, когда после загрузки с web-страницы вредоносной рекламы с JavaScript тестируемое им Android-устройство было инфицировано вымогательским ПО. В ходе атаки на дисплей планшета (исследователь использовал устройство от Samsung на базе Android 4.2.2 с прошивкой Cyanogenmod 10) не выводилось привычное диалоговое окно, запрашивающее разрешения на установку приложений.

Проконсультировавшись с экспертом Zimperium Джошуа Дрейком (Joshua Drake), Брандт установил, что используемый в ходе атаки JavaScript содержал эксплоит для уязвимости в библиотеке libxslt, утекший после взлома компании Hacking Team. По словам Дрейка, полезная нагрузка эксплоита (исполняемый файл Linux ELF с названием module.so) содержит код инструмента Towelroot, появившегося в 2014 году. Полезная нагрузка ELF (в настоящее время классифицируется как Towelroot только двумя антивирусными компаниями) в свою очередь содержит код, загружающий и устанавливающий троян-вымогатель.

Некоторые домены, с которых осуществлялась атака, были созданы менее месяца назад, однако сама атака началась самое позднее в середине февраля нынешнего года. Используемое злоумышленниками вымогательское ПО Cyber.Police имеет схожие черты с несколькими старыми семействами вымогателей, применяемых еще до появления шифровальщиков. Троян выводит на дисплей сообщение якобы от правоохранительных органов, сообщающее, будто пользователь просматривал в браузере запрещенный контент.

Инфицировав систему, Cyber.Police не шифрует файлы жертвы, а блокирует само устройство, превращая его в «кирпич». За возможность снова пользоваться смартфоном или планшетом требуется выплатить выкуп, предоставив злоумышленникам коды двух стодолларовых подарочных карт магазина Apple iTunes. Оплата в таком виде весьма необычна для подобных атак. Как правило, вымогатели требуют выкуп в биткойнах или другой криптовалюте.