Анатомія здирників для Android, частина 2

У травні 2014 р. спеціалісти ESET виявили перший вимагач з функцією шифрування файлів для Android під назвою Simplocker. Аналогічне шкідливе ПО для Windows раніше вже отримала досить широку поширеність і успішно використовувався зловмисниками для вимагання значних сум з їх жертв. Серед яскравих представників можна виділити такі родини як Cryptolocker, Cryptowall, CTB-Locker, Torrentlocker.



Після свого запуску на пристрої, вимагач відображає користувачеві повідомлення з вимогою викупу, як це показано на малюнку нижче. Шифрування файлів здійснюється Simplocker в окремому програмному потоці. Шкідлива програма Android/Simplocker.A здійснює пошук на SD-карті певних типів файлів, таких як зображення, документи, відео з наступними розширеннями: JPEG, JPG, PNG, BMP, GIF, PDF, DOC, DOCX, TXT, AVI, MKV, 3GP, MP4. Файли шифруються з використанням симетричного шифру AES.

Сам ключ шифрування був жорстко зашитий в тіло здирника, при чому перебував там у відкритій формі. Таким чином, не становило великої праці розшифрувати файли і отримати до них доступ. З цієї причини, ми назвали сімейство цих здирників саме Simplocker (простий блокувальник). Ми також вважаємо, що з-за простоти його реалізації, це був або proof-of-concept (PoC) загрози, або рання версія її більш складного аналога.


Рис. Повідомлення з вимогою викупу Android/Simplocker перших версій.


Рис. Для залякування жертви вимагач використовує знімки фронтальної камери пристрою.

Текст повідомлення здирника був написаний російською мовою, а оплата була потрібна в рублях або в українських гривнях, що свідчить про орієнтацію зловмисників на користувачів в Україні. Повідомлення також вказувало жертву яким чином слід було сплатити викуп. В якості платіжних систем вказувалися MoneXy або QIWI, так як в цьому випадку одержувача виконаного платежу не так просто відстежити, як, якби, він був виконаний з використанням кредитної картки.

Деякі модифікації Simplocker також відображали в повідомленні з вимогою викупу фото жертви, які було захоплено шляхом доступу до камери пристрою. Такий метод використовувався зловмисниками для посилення негативного впливу на жертву.

Вектори поширення Simplocker

Кіберзлочинці, які заробляли на Simplocker, використовували для його поширення ефективну схему маскування шкідливого додатка в легітимне або відоме. Як правило, маскування виконувалася під додаток, яке мало відношення до порно, це могло бути додаток для перегляду або сам порно-ролик. В іншому випадку додаток маскувався під ігри, наприклад, Grand Theft Auto: San Andreas або під такі загальні програми програвач Flash Player.

Поширення Simplocker здійснювалося і з допомогою менш відомого способу, такого як завантажувач або даунлоадер (downloader). Використання завантажувачів дуже поширене у світі шкідливого ПО для Windows, однак, для Android, такий метод не користувався популярністю у зловмисників. Завантажувач є дуже компактним розміром і використовується зловмисниками для завантаження на скомпрометоване пристрій потрібного їм вмісту шкідливої програми).

Використання завантажувачів для поширення шкідливого ПЗ дає зловмисникам деякі переваги для приховування шкідливої активності від очей перевіряючих, зокрема, від програми перевірки програм на легітимність з боку інструменту Bouncer, що працює в Google Play. Це досягається наступними властивостями завантажувачів.

  • Додаток спеціалізується на виконанні тільки однієї функції — відкриття URL-адреси. Саме по собі, така дія не може кваліфікуватися як шкідливе.
  • Завантажувач не вимагає спеціальних прав (permissions) для роботи в Android, як це роблять «потенційно небезпечні програми». Тому той користувач, який контролює запитувані додатком права в процесі установки, не зможе дізнатися про його справжні функції.
Крім цього, зловмисники використовують ще один спеціальний трюк для того, щоб приховати справжні функції завантажувача, наведений вище URL-адреса не вказує безпосередньо на APK-файл. Замість цього, посилання веде на проміжний сервер, а звідти спрямовується на завантаження файлу.

Ми не спостерігали поширення зловмисниками здирника Simplocker через магазин додатків Google Play.

Simplocker англійською

Через місяць після виявлення перших варіантів Simplocker, ми почали виявляти нові версії цього здирника, які містили декілька значних поліпшень. Одним з найбільш помітних стала зміна мови тексту повідомлення для виводу на екрані блокування. Для цих цілей було обрано англійську мову.

Для мотивації оплати викупу користувачем, була обрана тема блокування пристрою з боку ФБР (FBI) за здійснення протиправних дій: використання піратського ПЗ, перегляду дитячої порнографії та ін. Сума викупу в новій версії становила від 200 до 500 доларів, а в якості засобу оплати була обрана платіжна система MoneyPak. Як і в попередній версії Simplocker, нова модифікація також використовувала знімки камери користувача для його залякування. Дана модифікація виявляється нашими антивірусними продуктами як Android/Simplocker.I.


Рис. Повідомлення з вимогою викупу Android/Simplocker подальших версій англійською.

Останні варіанти здирника також містили деякі зміни. Замість ФБР була обрана служба АНБ (NSA), яка звинувачувала жертву у відвідуванні «заборонених порнографічних сайтів» і вимагала 500 доларів викупу.


Рис. Повідомлення з вимогою викупу Android/Simplocker від АНБ.

В доповнення до списку файлів, які шифруються, для цього були включені різні архівів: ZIP, 7z, RAR. Це «оновлення» вимагача стало дуже неприємним для користувачів, оскільки позбавляє їх доступу до архівів з вмістом резервних даних пристрої, які зберігаються у форматі таких архівів. Після втрати доступу до них, користувач вже не зможе відновити свої дані звідти.

Більш просунуті варіанти Simplocker, запитують у користувача режим адміністратора пристрої для своєї установки, що робить їх подальше видалення складним завданням. Перед видаленням здирника, користувачеві буде потрібно відкликати у нього розширені права. Ця операція є важко здійсненним, оскільки екран пристрою заблоковано.

Іншим примітним зміною у новій версії здирника став перехід зловмисників на протокол Jabber XMPP (Extensible Messaging and Presence Protocol) для взаємодії зі своїм керуючим C&C-сервером. Даний протокол допомагає кіберзлочинцям істотно ускладнити процес відстеження передачі трафіку між здирником і віддаленим сервером. Вимагач Android/Simplocker використовує його для надсилання інформації про зараженому пристрої на C&C-сервер і отримання команд для виконання. Деякі модифікації цього здирника також використовували .onion домени анонімної мережі Tor для тієї ж мети.

Найбільш важливим кроком у процесі еволюції Simplocker став перехід зловмисників на новий механізм зберігання ключів шифрування, які використовуються для шифрування файлів. Через кілька місяців після появи перших версій, ми виявили нові модифікації шкідливої програми, що використовують унікальні ключі шифрування, які Simplocker отримував з віддаленого сервера. Цей крок ознаменував собою перехід авторів від етапу тестування здирника на одержання від нього реальної прибутку, оскільки в такому випадку розшифрування файлів стає практично неможливою.

Lockerpin

У попередніх версіях здирників для Android, можливість блокування екрану, як правило, реалізовувалася шляхом постійної промальовування вікна з повідомленням про викуп у нескінченному циклі. Таким чином, користувач позбавлявся можливості працювати з пристроєм. Назад отримати контроль над пристроєм було можливо з використанням інтерфейсу Android Debug Bridge (ADB) або відключенням адміністратора з подальшим видаленням шкідливого додатка в безпечному режимі (Safe Mode).

У випадку з Android/Lockerpin, вірусописьменники вдалися до нового витонченому прийому блокування пристрою шляхом зміни його PIN-коду. Для виконання цього прийому, вимагач повинен отримати права адміністратора пристрою при своїй установці. Після зміни PIN-коду у користувача залишається мало шансів, щоб відновити доступ до пристрою. Він може отримати до нього доступ, якщо для пристрою раніше використовувалася операція рутинга (root), або на пристрої встановлений інструмент MDM. Ще одним методом повернення контролю над пристроєм залишається його заводський скидання (factory reset), який знищить на ньому всі дані.


Рис. Географія поширення Android/Lockerpin.

Згідно зі статистикою ESET LiveGrid, найбільша кількість заражень пристроїв припадає на США і складає 72% від загальної кількості заражень. Такий розподіл заражень Lockerpin по країнах є тенденція, згідно з якою зловмисники переходять від зараження користувачів у Росії та Україні на США, де вони можуть отримати більше прибутку. Зловмисники маскують Lockerpin під програма для перегляду порно.

Більш ранні версії сімейства Android/Locker отримували права адміністратора пристрою аналогічно багатьом іншим троянам для Android, які використовують цей механізм у якості захисту від видалення з ОС. При цьому вони покладаються на користувача, що погоджується підняти привілеї додатки до такого рівня, при його установці.

Останні версії здирника містять хитрий прийом отримання прав адміністратора пристрою. Lockerpin показує користувачеві спеціальне вікно з проханням встановити «оновлення», яка перекриває системне вікно Android з проханням підтвердити надання розширених прав додатком. Вікно здирника оформлено таким чином, що кнопка «Continue» точно збігається з кнопкою «Activate» системного вікна. Таким чином, користувач не ініціює установку оновлень, що підтверджує надання розширених прав на пристрої шкідливого додатком.


Рис. Демонстрація використовуваного Android/Lockerpin прийому по обману користувача для підтвердження отримання прав адміністратора.

Після успішної установки в систему, Android/Lockerpin діє як поліцейський вимагач. Користувачеві відображається повідомлення від «правоохоронних органів» з вимогою викупу розміром $500 за перегляд і зберігання заборонених порнографічних матеріалів.


Рис. Повідомлення з вимогою викупу від Android/Lockerpin.


Рис. Екран блокування здирника Android/Lockerpin скомпрометованому пристрої.

По закінченню певного таймауту, який слідує за відображенням тексту здирника користувачеві, шкідлива програма змінює PIN-код або встановлює його в разі відсутності. Цей PIN-код представляє з себе довільно згенероване чотиризначне значення, яке не відсилається на сервер зловмисників. Деякі модифікації Lockerpin забезпечені функцією скидання встановленого PIN-коду.

Механізми самозахисту Lockerpin

Крім отримання розширених прав адміністратора пристрою в системі, Android/Lockerpin також використовує агресивні методи самозахисту для підтримки своєї присутності в системі. Для цього вимагач реєструє функцію зворотного виклику (callback) для повторного отримання прав адміністратора відразу ж після спроби їх видалення. При цьому користувачеві знову відображається фальшиве вікно із запитом на встановлення оновлень.


Рис. Вимагач блокує спроби користувача відкликати у нього права адміністратора.

В якості додаткової міри самозахисту, Lockerpin також намагається завершити всі працюючі процеси антивірусних програм в Android. Це відбувається в тому випадку, коли користувач намагається відкликати у шкідливого додатка права адміністратора. Lockerpin має функцію завершення процесів трьох антивірусних програм: ESET Mobile Security, Avast і Dr.Web.


Рис. Lockerpin спеціалізується на вбивство запущених процесів.

Шкідлива програма не зможе завершити процеси ESET Mobile Security або видалити його із системи, проте, вона також намагається вбити процес com.android.settings в цілях запобігання видалення шкідливого додатка вбудованим менеджером додатків.

JISUT

Зграю вимагачів, яка антивірусні продукти ESET виявляють як Android/LockScreen.Jisut, є досить дивним. На відміну від інших вимагачів, які були створені для отримання фінансової вигоди, ця модифікація використовується як витівка. Найбільше поширення вона одержала в Китаї і, швидше за все, представляє з себе результат роботи підлітка з Китаю.

Більшість здирників вимагають викуп через ту платіжну систему, транзакцію в якому неможливо відстежити. Зловмисники вибирають такі системи як MoneyPak, MoneXy або Bitcoin. Тим не менш, автори Jisut взяли на озброєння інший підхід, який не передбачає анонімності. Текст екрану блокування здирника містить контактну інформацію зловмисника для китайської соціальної мережі QQ. Повідомлення закликає користувача зв'язатися із зловмисником для отримання своїх файлів назад. Якщо інформація в профілях QQ вірна, то вік зловмисників варіюється від 16 до 21 року.

Перші варіанти Android/LockScreen.Jisut почали з'являтися у першій половині 2014 р. З тих пір, ми виявляли сотні модифікацій цієї шкідливої програми, які ведуть себе трохи інакше або відображають різний текст на екрані блокування, але всі вони засновані на одній кодовій базі. Все сімейство здирників Jisut відрізняється від інших відомих здирників типу LockScreen.

Одна з модифікацій Jisut спеціалізується на створенні повноекранного вікна (Activity), яке перекриває всі інші вікна. При цьому це вікно представляє з себе чорний фон, так що для користувача це виглядає так, як ніби пристрій заблоковано або вимкнено. У випадку, якщо користувач викликає меню Android для вимикання або перезавантаження пристрою, йому відображається повідомлення в жартівливій формі. Деякі модифікації здирника також програють музику з фільму Psycho відомого кінорежисера Альфреда Хічкока, викликаючи вібрацію пристрою в нескінченному циклі.


Рис. Жартівливі повідомлення Jisut на китайському: зліва: «Вимкнути, ти мертвий!», праворуч: «Я сподіваюся тобі весело! Продюсер Shen Shen».

Ще одна модифікація Jisut просить користувача натиснути на кнопку з написом: «Я ідіот» тисячу разів. У разі виконання операції, вимагач не здійснює ніяких дій, при цьому скидаючи лічильник натискань до нуля.


Рис. Повідомлення з написом: «будь Ласка, натисніть кнопку внизу тисячу разів».

В додаток до згаданого вище дурному поведінки вимагача з розіграшу жертви, деякі його модифікації містять шкідливі функції. Однією з таких функцій є можливість зміни PIN-коду або пароля користувача аналогічно тому, як це зроблено у Android/Lockerpin. Jisut може відображати користувачу і фальшивий екран блокування, який імітує легітимний екран блокування. Ця остання функція також зустрічалася в родинах здирників Android/Locker та Android/Koler.


Рис. Пристрій заблоковано зі зміною PIN-коду або пароля здирником Android/LockScreen.Jisut.


Рис. Інші приклади екрану блокування здирника.

Ми спостерігали варіанти Jisut, які також спеціалізувалися на відправку SMS-повідомлень з URL-посилання в тексті контактів користувача.

Як захистити пристрій під управлінням Android

Для користувачів мобільної ОС Android важливо бути в курсі інформації про ту загрозу, яку представляють з себе здирники, а також про відповідні профілактичні заходи для запобігання зараження. В цілях захисту від шкідливого ПЗ слід уникати установки додатків з неофіційних магазинів, встановити у себе на пристрої антивірусне програмне забезпечення і регулярно оновлювати ОС і додатки. Крім цього, користувачеві слід регулярно робити резервну копію важливих даних пристрою.

Дотримуючись зазначені правила користувачі навряд чи зіткнутися із загрозою встановлення шкідливих програм або втрати даних. Навіть у тому випадку, якщо з яких-небудь причин, пристрій буде заблоковано здирником, актуальну копію зашифрованих даних завжди можна відновити з резервної копії. Крім цього, можна скористатися наступними корисними способами боротьби з ними.
Для більшості простих родин здирників, які спеціалізуються на блокування екрану користувача, завантаження пристрою в безпечному режимі є простим способом видалення шкідливого додатка. Оскільки завантаження в такому режимі блокує запуск сторонніх програм, шкідливе ПЗ також позбутися можливості свого запуску. Способи завантаження пристрою в безпечному режимі можуть відрізнятися в різних моделях. У разі використання здирником прав адміністратора в системі, вони повинні бути відкликані перед видаленням шкідливого додатка.

У тому випадку, якщо вимагач з правами адміністратора пристрою заблокував пристрій з використанням PIN-коду Android або пароля, ситуація з його розблокуванням істотно ускладнюється. Розблокувати пристрій в такому разі можливе з використанням менеджера пристрою Google Android Device Manager або альтернативного рішення MDM (Mobile Device Management). Пристрої з активованою функцією root мають у такому випадку більше можливостей відновлення. В якості крайньої міри можна використовувати заводський скидання пристрою, який видалить на ньому всі дані.

При зараженні здирником з функцією шифрування файлів, таких як Android/Simplocker, ми рекомендуємо користувачу зв'язатися з технічною підтримкою постачальника, використовуваного ним рішення безпеки. В залежності від конкретної модифікації здирника, розшифрування файлів може бути, як можлива, так і немає.

Ми радимо користувачам не попадатися на вудку зловмисників і не платити необхідну суму викупу з наступних причин. В той час, як деякі киберпреступные групи вийшли на високий рівень професіоналізму і дійсно розшифровують файли користувача після сплати викупу, така ситуація відбувається не завжди. Наприклад, автори здирників-шифрувальників для Android намагаються копіювати багато прийоми аналогічних колекцій для Windows (Filecoder), причому роблять це досить погано. Для користувача з цього випливає два наслідки: по-перше, навіть у разі оплати викупу, він не зможе розшифрувати файли. По-друге, в деяких випадках, файли можна буде розшифрувати і без сплати викупу.

Деякі варіанти здирників для Android, які ми аналізували, не містили в собі код розшифровки файлів і видалення екрану блокування, тому оплата викупу в такому випадку також нічим не зможе допомогти.

Сприйняття ситуації зараження здирником для одного користувача або ж корпоративної одиниці зводиться до питання довіри. Чи можна довіряти кіберзлочинцям і чи дійсно вони повернуть пристрій і файли на ньому в стан, що передує зараженню? Очевидно, що ніхто не може дати таких гарантій. Навіть у тому випадку, якщо викуп буде сплачений, а дані повернуті, не існує гарантій його повторної компрометації. Таким чином, йдучи на поводу у зловмисників жертва лише грає в запропоновану кіберзлочинцями гру, в яку все одно програє.

Як вже згадувалося вище, дотримання профілактичних заходів на основі базових правил безпеки, які полягають у використанні оновленого антивірусного та іншого на Android, а також резервне копіювання даних є найкращою мірою безпеки. Оскільки у цих правилах безпеки немає нічого складного, ми не бачимо причин, за якими їх можна не виконувати.



Джерело: Хабрахабр
  • avatar
  • 0

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.