Una nueva pieza de ransomware Android se está entregando a través de unas dos ataques conocidos y sin requerir la interacción de las víctimas.
Según los investigadores de los laboratorios de Blue Coat, esta nueva amenaza móvil es diferente de la mayoría cripto-ransomware que circula en estos días, pero su método de entrega es de extrañar. De hecho, los laboratorios de Blue Coat 'Andrew Brandt cree que esta es la primera vez que un exploit kit ha sido capaz de instalar un programa malicioso en un dispositivo móvil sin la interacción del usuario.
El ransomware se instala automáticamente en un dispositivo de prueba cuando se accede a una página web con unos anuncios maliciosos que contienen el código JavaScript. Se ejecuta en teléfonos de Android vieja y los investigadores descubrieron que el código JavaScript contenía un exploit filtró durante la brecha de Team Hacking , mientras que la carga útil incluye el código para el futex / Towelroot exploit descubierto en 2014.
Brandt explica que el móvil de Joshua Drake proveedor de soluciones de seguridad Zimperium ha confirmado que el ataque, lo que impidió es que el dispositivo muestre el cuadro de diálogo normal "permisos de las aplicaciones".
Las propias etiquetas de malware "Cyber.Police" (su nombre interno es net.prospectus ) y se asemeja a las familias, ransomware pre-criptográficos de edad avanzada: bloquea el dispositivo, evita todas las demás aplicaciones de inicio, y se pone al comenzar de primero en el arranque.
El malware también muestra una notificación indicando al usuario que pagar un rescate para recuperar el acceso al dispositivo. Supuestamente procedente de la "agencia de seguridad nacional de Estados Unidos" o "agencia de seguridad Nación", la notificación informa a los usuarios que necesitan para pagar el rescate en dos codigos de tarjeta de regalo ($100 de Apple iTunes).
De acuerdo con los laboratorios de Blue Coat, se observó el ransomware en un dispositivo que ejecuta la versión de CyanogenMod 10 de Android 4.2.2. Sin embargo, los investigadores descubrieron que al menos 224 modelos de dispositivos únicos que ejecuten versiones de Android entre 4.0.3 y el servidor comunicado mando y control del malware (C & C) 4.4.4 desde el 22 de febrero.
También señalan que algunos de ellos son conocidos por no ser vulnerables al Team Hacking libxlst exploit, lo que significa que los atacantes podrían haber estado atacando a otras vulnerabilidades, así como asegurar que puedan infectar tantos dispositivos como sea posible.
Los investigadores también señalan que, si bien un dispositivo infectado está bloqueado, los usuarios podrían ser capaces de conectarse a un ordenador y recuperar sus documentos no modificados, fotos y otros archivos, tanto de la tarjeta del dispositivo interno de memoria y almacenamiento (s) que puedan estar instalados. También descubrieron que el malware podría sobrevivir a un flashing de sistema operativo, a pesar de que se elimina durante la restauración de fábrica.
No hay comentarios.:
Publicar un comentario