Обновление: телефоны Android страдают от новой программы-вымогателя DroidLock. Он может сфотографировать вас, украсть пароли и полностью заблокировать ваше устройство | #
Забудьте о простых вирусах, которые крадут контакты или фотографии. Новое вредоносное ПО DroidLock, обнаруженное исследователями из команды zimperium.com, выводит уровень атак на Android на совершенно другой уровень.
Представьте себе, что вы открываете подозрительную ссылку в SMS или на веб-сайте, обещающую «срочное обновление безопасности», и через несколько секунд вы теряете контроль над своим телефоном. Злоумышленники заблокируют его, украдут ваши данные для входа, бесшумно сфотографируют вас на фронтальную камеру, вы даже не заметите тишины и будете управлять всем устройством удаленно, как будто они держат в руке пульт.
Это вредоносное ПО распространяется через фишинговые сайты и дропперы.. Это безобидные на вид приложения, которые после установки загружают и запускают настоящий вредоносный код и могут обходить механизмы защиты Android.
DroidLock притворяется обновлением
Первоначальное заражение является пугающе незаметным. DroidLock маскируется под обновление системы и пытается обманом заставить вас предоставить ему важные разрешения. Сначала он запросит доступ к службам доступности, что позволит ему автоматически подтверждать все остальные запросы разрешений. На практике он таким образом получает доступ к СМС-сообщениям, контактам, истории звонков, звуку и одновременно может манипулировать экраном. Затем он подключается к серверу управления (C2). Сначала он отправляет основные данные об устройстве через HTTP для целей анализа, а затем переключается на связь через WebSocket для получения команд в реальном времени. Вредоносная программа принимает до 15 уникальных инструкций, которые превращают обычный телефон в инструмент в руках злоумышленников.
DroidLock — очень сложная вредоносная программа.
Одна из самых опасных команд — Ransomware. После его запуска на экране появляется полноэкранный слой WebView со страшным предупреждением: «Немедленно свяжитесь с нами по электронной почте, указав идентификатор вашего устройства, иначе мы уничтожим все ваши данные в течение 24 часов». Хотя эта вредоносная программа не шифрует файлы, как классические программы-вымогатели, она может удалить их с помощью команды WIPE, которая выполняет сброс настроек до заводских. Другие команды включают BLACK_SCREEN (черный экран), BLACK_SCREEN_UPDATE_SYSTEM (блокировка ложного обновления) или MUTE, чтобы отключить звук устройства. Команда VNC активирует пульт дистанционного управления, КАМЕРА фотографирует жертву, а ПОВОРОТ ЭКРАНА сохраняет устройство активным.
Не упускайте из виду
Рождественская викторина: Знаете ли вы, какой телефон подойдет именно вам? Эти несколько вопросов подскажут вам, носите ли вы в кармане плохой сотовый телефон.
Однако DroidLock также отлично справляется с кражей конфиденциальных данных. Он проверяет открытие приложений из целевого списка и затем запускает покрытие. Первый тип наложения — это панель шаблона быстрой блокировки, хранящаяся в ресурсах приложения, которая имитирует экран разблокировки и крадет шаблон. Второй тип — динамический WebView, который загружает HTML, хранящийся в локальной базе данных, и адаптирует его к конкретному приложению. Обычно он имитирует экраны входа в банки или другие службы и получает пароли, коды 2FA или другие конфиденциальные данные.
В качестве дополнения в фоновом режиме работает постоянный сервис записи экрана.который использует API MediaProjection и VirtualDisplay. Он фиксирует все действия на экране, сжимает изображения в Base64 и отправляет их на сервер. Таким образом, злоумышленники могут увидеть все — от банковских переводов до одноразовых кодов.
На практике это полноценный RAT (троян удаленного доступа). DroidLock использует Диспетчер устройств, чтобы навсегда заблокировать устройство, изменить PIN-код или заблокировать биометрические данные (BLOCK_BIOMETRIC). Он может блокировать приложения (APP_BLOCK), удалять ненужные (UNINSTALL_APP), вставлять оверлеи (INJECT_APP) и удалять данные через канал C2. Ссылки на методы MITRE ATT&CK в тексте верны, но важно знать, что эти сопоставления носят ориентировочный характер — но они точно описывают диапазон возможностей вредоносного ПО.
Важно внимательно относиться к источнику, из которого вы устанавливаете приложение.
Защита – это не ракетостроение, но она требует бдительности. Никогда не устанавливайте APK-файлы за пределами Google Play, особенно если они получены с сомнительных веб-сайтов с поддельными сообщениями безопасности или «предупреждениями банка». Регулярно проверяйте, какие приложения имеют доступ к службам специальных возможностей и диспетчеру устройств. Если вы обнаружите неизвестное приложение, удалите его.
Если вы подозреваете заражение, перезагрузите телефон в безопасном режиме и попробуйте удалить подозрительное приложение. Если это невозможно, создайте резервную копию данных и выполните сброс настроек к заводским. Приложение безопасности, которое может обнаруживать вредоносные процессы, также может помочь, но самое главное — будьте осторожны с тем, что вы нажимаете.
DroidLock — это пример вредоносного ПО для Android, переходящего от пассивного шпионажа к активному управлению устройством. Сочетание оверлеев, удаленного управления, записи экрана и административных прав делает обычный смартфон идеальной мишенью для киберпреступников. Поскольку телефон сегодня хранит практически всю нашу цифровую жизнь, стоит дважды подумать, что мы открываем и откуда устанавливаем.
Автор публикации
КОММЕНТЫ