Összefoglaló
A FLocker nevű, Android operációs rendszereket támadó, zsaroló trójai káros kód vált ismertté, amely a felhasználó eszközét lezárja, majd váltságdíjat kér a feloldásáért.
Leírás
Az FLocker egy olyan “rendőrségi” trójai, amely egy hivatalos szerv nevében megfenyegeti ártatlan áldozatát, miszerint bűncselekményt követett el, és 200 dollárnyi iTunes ajándékkártyáért cserébe oldja csak fel az eszközét. A kártevő egy SMS, e-mail, vagy rosszindulatú link segítségével kerül az eszközre, és az utóbbi időben Androidot futtató TV-ken is megjelent.
Amikor a káros szoftver aktiválódik, először is ellenőrzi, hogy a fertőzött eszköz az alábbi országok egyikében található-e, és ha igen, fel is függeszti működését:
- Kazahsztán
- Azerbajdzsán
- Bulgária
- Grúzia
- Magyarország
- Ukrajna
- Oroszország
- Örményország
- Fehéroroszország
Amennyiben egy megfelelő készüléket sikerül megfertőznie, 30 percet vár, mielőtt működését megkezdené. Ez után elindul a háttérben és rendszergazdai jogot kér az eszközön. Ha a felhasználó elutasítja, lefagy egy hamis rendszerfrissítést szimulálva.
Ha a rendszergazdai jogosultságot megszerezte, kapcsolódik a vezérlőszerveréhez, amelyről letölti a payload-ját és a figyelmeztető HTML oldalt, melyet később megjelenít. A HTML oldal javascript kódot is tartalmaz, mely képes elindítani az APK telepítését, fotót készíteni a felhasználóról és megjeleníteni a zsaroló szöveget.
Ha a képernyő lezárásra kerül, összegyűjti az alábbi adatokat, melyek titkosítva közlekednek a hálózaton:
- Eszköz információ
- Telefonszám
- Névjegyek
- Pontos idő és hely
- Egyéb információk
Támadás típusa
RansomwareHatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: blog.trendmicro.com
