Ransomware na Google Play-u

Pre nekoliko dana naišli smo na vest da je otkrivena nova aplikacija na Google Play-u koja u sebi sadrži ransomware. Ova pojava nije novost, ali svakako poziva na opreznost čak i kada aplikacije instalirate sa proverenih izvora poput Google Play Store-a.

Mobilni ransomware nazvan “Charger” detektovali su istraživači iz kompanije Check Point. Charger, koji pored osnovne funkcionalnosti krade i korisničke podatke, pronađen je u aplikaciji za čuvanje baterije pod imenom Energy Rescue.

Nakon što se uvuče na Android uređaj, Charger krade kontakte i SMS poruke i navodi korisnika da mu dozvoli administrativna prava nad uređajem. Nakon što dobije admin prava, inficirana aplikacija zaključava uređaj i prikazuje sledeću poruku:

“Isplatite nas, inače ćemo svakih 30 minuta na crnom tržištu objaviti deo vaših ličnih podataka! Sakupili smo i preuzeli sve vaše lične podatke, sve informacije o vašim društvenim mrežama, bankovnim računima, kreditnim karticama. Sakupili smo sve podatke o vašim prijateljima i rodbini.”

Za povrat podataka i otključavanje uređaja kreatori Charger-a zahtevaju 0.2 bitcoin-a, u protivvrednosti oko 180 dolara. Serveri/agenti za distribuciju ovog ransomware-a još uvek nisu identifikovani, ali je uočeno da Charger ne funkcioniše u Ukrajini, Rusiji i Belorusiji što navodi na zaključak da se napadi sprovode iz jedne ili svih ovih država. Sajber kriminalci često usvajaju ovakav protokol da bi izbegli izvršavanje malvera u sopstvenom okruženju.

Ovo nije prva aplikacija na Google Play-u koja je inficirana ransomware-om. Primera radi, prošlog oktobra je preko 400 aplikacija na storu bilo zaraženo Dresscode trojancem. Početkom januara Check Point je otkrio novu varijantu HummingBad familije malvera, skrivenu u brojnim aplikacijama sa milionima preuzimanja.

Ono što razdvaja Charger od ostalih pretnji su napredne tehnike za izbegavanje detekcije poput kodiranog stringa u binarnom nizu i dinamičkog učitavanja izvršnog koda iz kriptovanih izvora napada. Dok većina Google Play malvera sadrži droper koji će nakon aktiviranja aplikacije preuzeti maliciozni kôd sa servera napadača, Charger je agresivniji i direktniji, krijući se na oficijelnoj stranici Google Play-a. Takođe, otkupnina je daleko veća od do sada viđenih.

Srećom, Energy Rescue je preuzet na malom broju uređaja nakon čega je uklonjen sa stora, ali ovaj incident svakako baca senku na Googlov sistem za detekciju malicioznih aplikacija.

Izvor: Data-Stealing Ransomware App Found in Official Google Play Store