rssyoutubefg

תוכנת כופר חדשה לאנדרואיד: מצפינה את הקבצים ונועלת את המכשיר

ESET ישראל
13.10.17

חוקרי ESET איתרו לראשונה תוכנת כופר לאנדרואיד המנצלת את שירותי הנגישות של מערכת ההפעלה של אנדרואיד. חוץ מלהצפין את הקבצים השמורים במכשיר הנוזקה נועלת את מכשיר הקורבן.

בתחילת השנה דיווחנו לכם על עליה של 50% במספר הזיהויים של נוזקות הכופר לאנדרואיד במהלך שנת 2016. השימוש הגובר בסמארטפון הופך אותו למקום אחסון לנתונים יקרי ערך והמידע הרגיש שנאגר במכשירים הופך את מתקפות הכופר לאטרקטיביות יותר עבור פושעי הסייבר. בהתאם ניתן לראות את ההתפתחות של נוזקות הכופר בתחום המובייל.

הנוזקה החדשה המכונה DoubleLocker, מבוססת על טרויאני לגניבת פרטי בנק ואשראי ומנצלת לרעה את שירותי הנגישות של מערכת ההפעלה אנדרואיד. עם זאת, ל-DoubleLocker אין את הפונקציות הקשורות לגניבת אישורי הבנקאות של המשתמשים ומחיקת את החשבונות שלהם. במקום זאת, יש לה שני כלים רבי עוצמה אחרים לסחיטת כסף מהקורבנות שלה.

DoubleLocker יכולה לשנות את סיסמת הנעילה ובכך למנוע גישה למכשיר. בנוסף באפשרותה להצפין את הקבצים והתיקיות הנמצאים על מכשיר האנדרואיד – השילוב הקטלני הזה מופיע לראשונה במערכת ההפעלה של אנדרואיד.

"הודות לשורשים הטרויאנים שלה, DoubleLocker יכולה בהחלט בעתיד להפוך למה שאנחנו קוראים לו 'כופר-בנקאי'. נוזקה התוקפת בשני שלבים, ראשית גונבת את פרטי הכניסה לחשבונות הבנק או ה-PayPal ולאחר מכן נועלת את המכשיר ומצפינה את הנתונים על מנת לדרוש כופר. למעשה, כבר איתרנו גרסת מבחן של נוזקה מסוג זה כבר במאי 2017" אומר לוקאס סטפנקו, חוקר הנוזקות שזיהה את תוכנת הכופר.

כיצד היא מופצת?

DoubleLocker מופצת בדומה לטרויאני לגניבת פרטי בנק ואשראי עליו היא מבוססת. בהתקפה מגיע הקורבן לאתר זדוני או אתר שהודבק, כאשר הוא מתבקש להתקין תוסף מזויף של Adobe Flash Player על מנת לצפות בתוכן שבאתר (יכול להיות סרטון שנשלח אליו לינק או אתר סטרימינג).

לאחר התקנת התוסף, הקורבן מתבקש לתת הרשאות מנהל עבור שירות מתחזה שנקרא Google Play Service. ברגע שהתוסף הזדוני מקבל את הרשאות מנהל עבור השירות שלו, הוא מגדיר את עצמו כ Launcher של המכשיר. הגדרה של Launcher באנדרואיד משמעותה האפליקציה שמנהלת את העיצוב של הממשק ושל דפי הבית במכשיר. המשמעות היא שבכל פעם שהמשתמש לוחץ על הכפתור "בית" במכשיר (בדרך כלל הכפתור האמצעי במרבית מכשירי האנדרואיד), מופעל שוב התוסף הזדוני שמפעיל גם את נעילת המכשיר.

נועלת גם את המכשיר וגם את הנתונים

ברגע שהנוזקה משתלטת על המכשיר היא מבצעת שתי נעילות שונות של המידע, סיבה כפולה לקורבנות לשלם את הכופר.

ראשית, היא משנה את קוד הנעילה של המכשיר, וחוסמת את שימוש הקורבן במכשיר. קוד הנעילה החדש מוגדר כערך אקראי שאינו מאוחסן במכשיר ולא נשלח לשום מקום, ולכן אין אפשרות, לא לקורבן ולא למומחה אבטחה לשחזר את הקוד. לאחר תשלום כופר, התוקף יכול מרחוק לאפס את קוד הנעילה ולפתוח את המכשיר.

שנית, DoubleLocker מצפינה את כל הקבצים מספריית האחסון הראשית של המכשיר בצירוף סיומת הקובץ "Cryeye.".
תשלום הכופר המבוקש על מנת לשחרר את המכשיר והקבצים עומד על 0.0130 ביטקוין, שהם כיום כ-72 דולר והמסר מדגיש כי הוא חייב להיות משולם בתוך 24 שעות. אם הכופר לא ישולם, הנתונים יישארו מוצפנים והמכשיר יישאר נעול.

doublelocker 1

כך נראים הקבצים המוצפנים במכשיר הנגוע ב- DoubleLocker

doublelocker 2

הודעת דרישת הכופר במכשיר נגוע ב- DoubleLocker

איך נפטרים מהנוזקה?

בדרישת הכופר, התוקפים מזהירים את הקורבן מלהסיר או לחסום את הנוזקה: "ללא התוכנה על המכשיר לעולם לא תצליח לגשת לקבצים שלך". כדי למנוע הסרה לא רצויה של התוכנה, התוקפים ממליצים גם להשבית את תוכנת האנטי-וירוס של המשתמש.

"בכל נושא מומלץ להתעלם מההצעות של התוקפים" מסביר סטפנקו. "משתמשים שמותקנת על מכשירם תוכנת אבטחה אמינה מוגנים מ-DoubleLocker".

עבור מרבית המשתמשים, שאינם פורצים את המכשיר או משתמשים בכלי פיתוח מיוחדים, במידה ונדבקתם בנוזקה, הדרך היחידה לשחזור הגישה למכשיר היא באמצעות איפוס הגדרות היצרן. באשר לתיקיות והקבצים המוצפנים, נכון לעכשיו לא ניתן לשחרר אותם.

לכן חשוב לוודא שהמידע שנשמר על המכשיר מגובה לענן, ובמיוחד אנשי הקשר והתמונות שלא תמיד מסונכרנים אוטומטית לענן. כמובן שחשוב גם להתקין תוכנת אבטחה יעילה ומוכרת להגנה על המכשיר.

אפליקציית האבטחה ESET Mobile Security מספקת הגנה מפני DoubleLocker. 

  • הדפס
  • דוא"ל

4 תגובות

השאר תגובה

להשארת תגובה מלאו את השדות הבאים

eset logo footer© כל הזכויות שמורות לקומסקיור בע"מ 2004-2018, נציגת ESET בישראל. סימנים מסחריים אשר בשימוש באתר זה הינם סימנים מסחריים או
מותגים רשומים של ESET spol. s r.o. או ESET, LLC. כל השמות והמתוגים האחרים הם סימנים מסחריים רשומים של החברות הרשומות

עוצב ונבנה על-ידי פרומו - אסטרטגיה שיווקית ופרסום