• Обратная связь: [email protected]

    Наш канал в telegram: https://t.me/ru_sfera

    Группа VK: https://vk.com/rusfera

    Пользователи могут писать на форуме ТОЛЬКО ЧЕРЕЗ 7 ДНЕЙ после регистрации

Porn ‘O’ Mania

Информация Porn ‘O’ Mania

i.jpg


Специалисты компании Symantec обнаружили нового блокировкщика Android.Lockdroid.E. Малварь распространяется вместе с приложениями для взрослых и не просто блокирует экран устройства, требуя выкуп, но и угрожает в случае неуплаты разослать историю браузера всему списку контактов жертвы.

Вымогательское ПО распространяется в составе приложения «Porn ‘O’ Mania», которое можно найти только в сторонних, неофициальных магазинах контента. Сообщается, что пользователи Google Play Store в безопасности.

Наиболее интересной особенностью локера являются методы, которые он применяет, чтобы обвести пользователя вокруг пальца и заставить его установить вредоносное приложение. Так как установка любого приложения должна быть вручную одобрена владельцем устройства, малварь в последнее время идет на самые разные хитрости.

На начальном этапе установки Android.Lockdroid.E использует стандартные приемы: притворяется безобидным приложением, использует фальшивые сообщения, где описание не соответствует действительности.

Если жертва поверила и начала установку, вредонос переходит к следующей фазе: применяет технику clickjacking. Поверх модального окна, в котором приложение запрашивает привилегии администратора, выводится еще один popup.

Второе окно, которое и видит пользователь, на самом деле является сообщением об ошибке (TYPE_SYSTEM_ERROR). Старые версии Android позволяют отобразить ошибку поверх всех окон и даже поверх окна, запрашивающего разрешения для приложения.

Но это сообщение об ошибке выглядит как экран установки приложения, который сообщает жертве, что установка уже началась и нужно немного подождать. Затем текст меняется, появляется сообщение о том, что установка приложения успешно завершена, а также кнопка «Continue».

Figure_3_0.png


Фальшивое сообщение об установке приложения

Эта фейковая кнопка «Продолжить» располагается точно поверх первого окна, запрашивающего привилегии администратора и кнопки «Activate». Как только жертва нажимает «Продолжить», одновременно происходит нажатие фоновой кнопки «Activate», и вредоносное приложение получает максимальные права в системе.

figure-3-concept.jpg


Получив доступ к системе, локер начинает зашифровывать файлы пользователя, а также собирает данные о его списке контактов. Как только шифрование окончено, малварь блокирует устройство, выводя на весь экран сообщение с требованием выкупа. Чтобы требование выглядело убедительнее, Android.Lockdroid.E угрожает разослать историю браузера жертвы всем ее контактам. Похожую тактику ранее использовал вымогатель Chimera, угрожавший опубликовать все личные файлы жертв в сети.

Новый локер представляет опасность для пользователей, чьи устройства работают на базе Android ниже версии 5.0 (Lollipop). Дело в том, что именно в пятой версии была отключена возможность выводить popup поверх окна инсталляции приложений. К сожалению, старые версии Android до сих пор используют порядка 2/3 всех устройств в мире.
  • Figure_3_0.png
    Figure_3_0.png
    60.8 КБ · Просмотры: 37
  • figure-3-concept.jpg
    figure-3-concept.jpg
    90.9 КБ · Просмотры: 39
Автор
X-Shar
Просмотры
688
Первый выпуск
Обновление
Рейтинг
0.00 звёзд Оценок: 0
Верх Низ