Egy új, különösen veszélyes rosszindulatú program jelent meg az Androidon: a DroidLock, amellett, hogy zárolni tudja a megfertőzött készüléket, még váltságdíjat is követel azért, hogy a telefon tulajdonosa újra hozzáférhessen az üzeneteihez és a már tárolt adatokhoz.
A kártevő akár az összes információt eltávolíthatja a mobilról – írta meg a hvg.hu a Bleeping Computer cikke nyomán.
Az új vírus tönkreteheti a mobilt
A külföldi szakportál a Zimperium kiberbiztonsági cég friss elemzésére hivatkozva arról számol be, hogy a támadók a program segítségével teljes kontrollt szereznek az érintett eszköt fölött, és egy megtévesztő felületen keresztül még a feloldási mintát is megszerezhetik.
Megbízható szoftverként tüntetik fel a programokat
A DroidLockot terjesztő alkalmazások jelenleg spanyol nylevű felhasználókat próbálnak megfertőzni. A programokat egy külső alkalmazásboltban teszik közzé, ahol igyekeznek azokat valódi, megbízhatónak tűnő szoftverként feltüntetni. A folyamat egy úgynevezett „dropper” app letöltésével kezdődik; ez önmagában még ártalmatlannak látszik, mivel nem tartalmaz kártékony modulokat.
Az igazi fenyegetést jelentő komponensek csak a második szakaszban kerülnek a készülékre, ami jelentősen megnehezíti a felismerést – különösen a vírusirtók számára.
Mindent törölhet a készülékről
A második fázisban a DroidLock működése már felhasználói közreműködést is igényel: az app megtévesztő módon ráveszi a felhasználót, hogy manuálisan installálja a ténylegesen fertőzött verziót. Amint ez megtörtént, a kártékony kód is települ az eszközre, majd sorra kéri a kritikus jogosultságokat, amelyek birtokában gyakorlatilag korlátlan irányítást kap. Ezután
képes adatokat törölni, a készüléket lezárni, a feloldó jelszót átállítani, sőt teljes egészében kizárni a tulajdonost.
A Zimperium szakértői szerint
a DroidLock értesítéseket generálhat, lenémíthatja a telefont, aktiválhatja a kamerát, vagy akár eltávolíthat alkalmazásokat is. Szélsőséges esetben a teljes gyári visszaállítást is elindíthatja.
A kártevő fő célja azonban egyértelműen a zsarolás. A képernyő blokkolása után egy bezárhatatlan üzenet jelenik meg, amely arra utasítja az áldozatot, hogy egy protonmailes címen vegye fel a kapcsolatot a támadóval. Ha 24 órán belül nem érkezik fizetés, a fenyegetés szerint minden adatot végleg törölnek. Mivel azonban
semmi nem garantálja, hogy a támadó a fizetés után valóban visszaállítja a hozzáférést, a követelés teljesítése teljesenértelmetlen.
Fontos tehát, hogy azalkalmazásokat kizárólag hivatalos forrásból – Android esetén a Play Áruházból – célszerű telepíteni, és lehetőleg ismert fejlesztők megoldásait érdemes választani. Az ismeretlen weboldalakról származó appok telepítése komoly kockázatot jelenthet, és könnyen hasonló támadások áldozatává teheti a felhasználót.
