FLocker trójai

CH azonosító

CH-13322

Angol cím

trojan FLocker

Felfedezés dátuma

2016.04.30.

Súlyosság

Közepes

Érintett rendszerek

Android
Google

Érintett verziók

Android

Összefoglaló

A FLocker nevű, Android operációs rendszereket támadó, zsaroló trójai káros kód vált ismertté, amely a felhasználó eszközét lezárja, majd váltságdíjat kér a feloldásáért.

Leírás

Az FLocker egy olyan “rendőrségi” trójai, amely  egy hivatalos szerv nevében megfenyegeti ártatlan áldozatát, miszerint bűncselekményt követett el, és 200 dollárnyi iTunes ajándékkártyáért cserébe oldja csak fel az eszközét. A kártevő egy SMS, e-mail, vagy rosszindulatú link segítségével kerül az eszközre, és az utóbbi időben Androidot futtató TV-ken is megjelent.

Amikor a káros szoftver aktiválódik, először is ellenőrzi, hogy a fertőzött eszköz az alábbi országok egyikében található-e, és ha igen, fel is függeszti működését:

  • Kazahsztán
  • Azerbajdzsán
  • Bulgária
  • Grúzia
  • Magyarország
  • Ukrajna
  • Oroszország
  • Örményország
  • Fehéroroszország

Amennyiben egy megfelelő készüléket sikerül megfertőznie, 30 percet vár, mielőtt működését megkezdené. Ez után elindul a háttérben és rendszergazdai jogot kér az eszközön. Ha a felhasználó elutasítja, lefagy egy hamis rendszerfrissítést szimulálva.

Ha a rendszergazdai jogosultságot megszerezte, kapcsolódik a vezérlőszerveréhez, amelyről letölti a payload-ját és a figyelmeztető HTML oldalt, melyet később megjelenít. A HTML oldal javascript kódot is tartalmaz, mely képes elindítani az APK telepítését, fotót készíteni a felhasználóról és megjeleníteni a zsaroló szöveget.

Ha a képernyő lezárásra kerül, összegyűjti az alábbi adatokat, melyek titkosítva közlekednek a hálózaton:

  • Eszköz információ
  • Telefonszám
  • Névjegyek
  • Pontos idő és hely
  • Egyéb információk

Hivatkozások

Egyéb referencia: blog.trendmicro.com