Android.Lockdroid.H


2016. április 1. 07:36

CH azonosító

CH-13145

Angol cím

Android.Lockdroid.H

Felfedezés dátuma

2016.03.30.

Súlyosság

Alacsony

Érintett rendszerek

Android
Google

Érintett verziók

Android

Összefoglaló

A Lockdroid nevű, Android operációs rendszereket támadó, trójai típusú káros kód vált ismertté, amely a felhasználó háttértárát titkosítja, majd megpróbálja eladni a titkosítás feloldásához szükséges jelszót.

Leírás

A kártevő fertőzött weboldalakról letöltve, vagy automatikusan egy linkre kattintva kerülhet az eszközre.

Letöltve egy felnőtt videókat kínáló alkalmazásként mutatja magát és megkéri a felhasználókat, hogy telepítsék. Néhány verzió rendszerfrissítésként mutatja magát mely szükséges egy biztonsági rés megszüntetéséhez.

Telepítéskor az alkalmazás engedélyt kér, hogy aktiválja az eszköz adminisztrátori funkciókat. Ha ezt engedélyezik a kártevő eltávolíthatatlan lesz, még akkor is ha csökkentett módban van elindítva.

Ezek után vár 30 percet mielőtt aktiválódna. Ezt azért teszi, hogy a felhasználó ne gyanakodjon arra, hogy az alkalmazás rosszindulatú.

Ha az eszköz nem kapcsolódik az internetre, az alkalmazás kéri hogy próbálják meg később elindítani.

Amint internet kapcsolatot észlel és hozzáfér a vezérlőszerverhez feltölti az alkalmazásinformációkat, hogy megállapítsa a használt nyelvet.

Ezek után ha a felhasználó nyelve Japán egy ransom üzenetet jelenít meg egyéb esetben pedig figyelmezetető (pl interpool) képernyőket mutat.

Az alkalmazás lekéri az eszköz IP címét, régióját eszköztípusát, OS verzióját, felhasználónevét majd képet készít róla, és beleszerkeszti a figyelmeztető üzenetbe, így próbálva minél nagyobb félelmet kelteni.

Végül utasít, hogy fizessen a fertőzött eszköz tulajdonosa 100 euro-t iTunes kártyával.

MD5:

  • 05a9fe032c557852df14be9c24e145bb
  • 0be58a6dedbff9a2d08861acddd9ecf8
  • 150171ee9bdace16028db879dc312a38
  • 2edaf9b9dc0918dadc8ddfcedf49ca0f
  • 3d846a285f70cc881fb59500a259bd17
  • 432d6910a334f2dd4a17dcd5a513c374
  • 47e1285eb9d63d6092ac1e4d3f8944ea
  • 4bbafb6d3ae5f562b6a6b742cd25a5e6
  • 5d7405d140b3607e5aef0418b0a3e6fe
  • 684d849b6c1538946f55ddb800cf654d
  • 716140c878595dca1c447e2a4d59ffaa
  • 7f16f02a4091d0d70ce0726c7323f654
  • 9a28af9abec460af199713a6b99e6154
  • 9aefe49b536f13400d4669bc9051074f
  • 9b2dee1d3d0f18f25048be5a84e7ec6f
  • 9d2003315ce87f89a38fe5ba8dfcc113
  • b307dbfbda494b98fc75762077a3f9bc
  • b495bd826e3414cb1cf1701d090aca3a
  • b5689dbf26452811e97b3a1c877a4f02
  • bad492bb6ebc5bee77d33529371b4cef
  • bba6b9b0c656507e0a9ca2c715d75bea
  • bf35624f3f004606801f40ef1b5a7122
  • c720f02f55839fddc580dc934df918b6
  • f1015fa58b8a42e19749667d339002fc

Megoldás

A kártevő eltávolítható csökkentett módban, de ha a felhasználó admin jogosultságokat adott csak a teljes gyári visszaállítás segíthet.

Támadás típusa

Ransomware

Hatás

Loss of confidentiality (Bizalmasság elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.symantec.com
Egyéb referencia: www.symantec.com

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2022-30190 – Microsoft Windows Support Diagnostic Tool (MSDT) Remote Code Execution sérülékenysége
CVE-2025-24016 – Wazuh Server Deserialization of Untrusted Data sérülékenysége
CVE-2025-33053 – Web Distributed Authoring and Versioning (WebDAV) External Control of File Name or Path sérülékenysége
CVE-2025-32433 – Erlang Erlang/OTP SSH Server Missing Authentication for Critical Function sérülékenysége
CVE-2024-42009 – RoundCube Webmail Cross-Site Scripting sérülékenysége
CVE-2025-21479 – Qualcomm Multiple Chipsets Incorrect Authorization sérülékenysége
CVE-2025-5419 – Google Chromium V8 Out-of-Bounds Read and Write sérülékenysége
CVE-2025-27038 – Qualcomm Multiple Chipsets Use-After-Free sérülékenysége
CVE-2025-21480 – Qualcomm Multiple Chipsets Incorrect Authorization sérülékenysége
Tovább a sérülékenységekhez »