Összefoglaló
Az Android/Lockerpin.A zsaroló trójai az első olyan ismert Android platformra készült kártékony szoftver, amely nem csak zárolja a készüléket, hanem annak PIN kódját is képes megváltoztatni.
Leírás
A ransomware a felfedező ESET szerint minden eddigi megfigyelt támadás esetében egy felnőtt tartalommal kecsegtető, “Porn Droid” nevű alkalmazás útján került az áldozat eszközére. Ez szerencsére a Google Play Áruházon nem érhető el, harmadik féltől származő applikációként Warez fórumokon, torrent hálozatokon keresztül terjed. Jelenleg a fertőzött eszközök mintegy 75 százaléka egyesült államokbeli.
Legtöbb elődjéhez hasonlóan először rendszergazdai jogosultságot próbál szerezni, hogy megelőzze az eltávolítását. Fontos különbség azonban, hogy ennél a trójainál a felhasználó már nem tudja megvonni az admin jogot, mert az agresszív módon képes fenntartani a jogosultságot (callback függvény).
További különbség, hogy a malware-t aktiváló ablak jóval megtévesztőbb, mert frissítésnek álcázza magát. Amint a felhasználó ezt lekattintja, a készülék zárolásra kerül, a következő lépésben pedig a PIN kód is lecserélődik. Ezek után a képernyőn megjelenik egy üzenet, amely arra utasítja az áldozatot, hogy fizessen 500 $-os bírságot. A váltságdíj kifizetése után a készülék zárolásának feloldását ígérik, azonban mivel a PIN kód véletlenszerűen generálódik és a támadó felé nem kerül továbbításra a feloldás fizetés esetén sem lehetséges.
Megoldás
Az ilyen trójaik általában könnyen eltávolíthatóak debug vagy csökkentett módban, sajnos ez jelen esetben nem elegendő, az alábbiak segíthetnek a zárolás feloldásában:
- Ha nem rootolt a készülék csak a gyári beállításokra való visszaállítása járható út, azonban ez egyúttal az eszközön tárolt adatok törlődését is jelenti.
- Másik lehetőség, ha fut rajta olyan mobil eszközmenedzsment (MDM) szolgáltatás, amivel át lehet állítani a PIN-t.
- Amennyiben az eszköz rootolt, a felhasználó csatlakozhat ADB-n keresztül és így eltávolíthatja azt a fájl-t, amiben a PIN tárolásra kerül. Ehhez előbb az USB debugging üzemmódot engedélyezni kell (Settings -> Developer options -> USB Debugging) Ha ez megtörtént, a következő parancsok megadásával lehet feloldani az eszközt:
> adb shell
> su
> rm /data/system/password.key
(Előfordulhat, hogy még egy újraindítást eszközölni kell.)
- Mindemellett természetesen fontos az antivírus szoftverek naprakészen tartása. Az ESET Mobile Security felismeri a kártevőt.
Támadás típusa
Hijacking (Visszaélés)Ransomware
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.heise.de
Egyéb referencia: www.welivesecurity.com
Egyéb referencia: net-security.org
Egyéb referencia: antivirus.blog.hu
Egyéb referencia: www.mysec.hu
Egyéb referencia: www.techtimes.com
