Android/Lockerpin.A ransomware

CH azonosító

CH-12604

Angol cím

Android/Lockerpin.A ransomware

Felfedezés dátuma

2015.09.12.

Súlyosság

Közepes

Érintett rendszerek

Android

Érintett verziók

Android

Összefoglaló

Az Android/Lockerpin.A zsaroló trójai az első olyan ismert Android platformra készült kártékony szoftver, amely nem csak zárolja a készüléket, hanem annak PIN kódját is képes megváltoztatni.

Leírás

A ransomware a felfedező ESET szerint minden eddigi megfigyelt támadás esetében egy felnőtt tartalommal kecsegtető, “Porn Droid” nevű alkalmazás útján került az áldozat eszközére. Ez szerencsére a Google Play Áruházon nem érhető el, harmadik féltől származő applikációként Warez fórumokon, torrent hálozatokon keresztül terjed. Jelenleg a fertőzött eszközök mintegy 75 százaléka egyesült államokbeli.

Legtöbb elődjéhez hasonlóan először rendszergazdai jogosultságot próbál szerezni, hogy megelőzze az eltávolítását. Fontos különbség azonban, hogy ennél a trójainál a felhasználó már nem tudja megvonni az admin jogot, mert az agresszív módon képes fenntartani a jogosultságot (callback függvény).

További különbség, hogy a malware-t aktiváló ablak jóval megtévesztőbb, mert frissítésnek álcázza magát. Amint a felhasználó ezt lekattintja, a készülék zárolásra kerül, a következő lépésben pedig a PIN kód is lecserélődik. Ezek után a képernyőn megjelenik egy üzenet, amely arra utasítja az áldozatot, hogy fizessen 500 $-os bírságot. A váltságdíj kifizetése után a készülék zárolásának feloldását ígérik, azonban mivel a PIN kód véletlenszerűen generálódik és a támadó felé nem kerül továbbításra a feloldás fizetés esetén sem lehetséges.

Megoldás

Az ilyen trójaik általában könnyen eltávolíthatóak debug vagy csökkentett módban, sajnos ez jelen esetben nem elegendő, az alábbiak segíthetnek a zárolás feloldásában: 

  • Ha nem rootolt a készülék csak a gyári beállításokra való visszaállítása járható út, azonban ez egyúttal az eszközön tárolt adatok törlődését is jelenti.
  • Másik lehetőség, ha fut rajta olyan mobil eszközmenedzsment (MDM) szolgáltatás, amivel át lehet állítani a PIN-t. 
  • Amennyiben az eszköz rootolt, a felhasználó csatlakozhat ADB-n keresztül és így eltávolíthatja azt a fájl-t, amiben a PIN tárolásra kerül. Ehhez előbb az USB debugging üzemmódot engedélyezni kell (Settings -> Developer options -> USB Debugging) Ha ez megtörtént, a következő parancsok megadásával lehet feloldani az eszközt:

> adb shell
> su
> rm /data/system/password.key

(Előfordulhat, hogy még egy újraindítást eszközölni kell.)

  • Mindemellett természetesen fontos az antivírus szoftverek naprakészen tartása. Az ESET Mobile Security felismeri a kártevőt. 

Hivatkozások

Egyéb referencia: www.heise.de
Egyéb referencia: www.welivesecurity.com
Egyéb referencia: net-security.org
Egyéb referencia: antivirus.blog.hu
Egyéb referencia: www.mysec.hu

Egyéb referencia: www.techtimes.com