Telecom News - אותרה תוכנת כופר חדשה לאנדרואיד: מצפינה את הקבצים ונועלת את המכשיר

אותרה תוכנת כופר חדשה לאנדרואיד: מצפינה את הקבצים ונועלת את המכשיר
מאת: מערכת Telecom News, 16.10.17, 12:55 SECURITY

אותרה תוכנת כופר לאנדרואיד בשםDoubleLocker - שילוב קטלני המופיע לראשונה במערכת ההפעלה של אנדרואיד. כיצד היא מופצת ואיך נפטרים ממנה?

בתחילת השנה דיווחה ESET על עליה של 50% במספר הזיהויים של נוזקות הכופר לאנדרואיד במהלך 2016. השימוש הגובר בסמארטפון הופך אותו למקום אחסון לנתונים יקרי ערך והמידע הרגיש, שנאגר במכשירים, הופך את מתקפות הכופר לאטרקטיביות יותר עבור פושעי הסייבר. בהתאם ניתן לראות את ההתפתחות של נוזקות הכופר בתחום המובייל.

הנוזקה החדשה, שזוהתה ע"י ESET, שמכונה DoubleLocker, מבוססת על טרויאני לגניבת פרטי בנק ואשראי ומנצלת לרעה את שירותי הנגישות של מערכת ההפעלה אנדרואיד. עם זאת, ל-DoubleLocker אין את הפונקציות הקשורות לגניבת אישורי הבנקאות של המשתמשים ומחיקת את החשבונות שלהם. במקום זאת, יש לה 2 כלים רבי עוצמה אחרים לסחיטת כסף מהקורבנות שלה:

DoubleLocker יכולה לשנות את סיסמת הנעילה ובכך למנוע גישה למכשיר.

בנוסף באפשרותה להצפין את הקבצים והתיקיות הנמצאים על מכשיר האנדרואיד.

השילוב הקטלני הזה מופיע לראשונה במערכת ההפעלה של אנדרואיד.

כיצד היא מופצת?

DoubleLocker מופצת בדומה לטרויאני לגניבת פרטי בנק ואשראי עליו היא מבוססת. בהתקפה מגיע הקורבן לאתר זדוני או אתר שהודבק, כאשר הוא מתבקש להתקין תוסף מזויף של Adobe Flash Player כדי לצפות בתוכן שבאתר (יכול להיות סרטון שנשלח אליו לינק או אתר סטרימינג).

לאחר התקנת התוסף, הקורבן מתבקש לתת הרשאות מנהל עבור שירות מתחזה, שנקרא Google Play Service. ברגע שהתוסף הזדוני מקבל את הרשאות מנהל עבור השירות שלו, הוא מגדיר את עצמו כ-Launcher של המכשיר.

הגדרה של Launcher באנדרואיד משמעותה: האפליקציה, שמנהלת את העיצוב של הממשק ושל דפי הבית במכשיר. המשמעות היא, שבכל פעם שהמשתמש לוחץ על הכפתור "בית" במכשיר (בדרך כלל הכפתור האמצעי במרבית מכשירי האנדרואיד), מופעל שוב התוסף הזדוני, שמפעיל גם את נעילת המכשיר.

נועלת גם את המכשיר וגם את הנתונים
ברגע שהנוזקה משתלטת על המכשיר היא מבצעת 2 נעילות שונות של המידע, סיבה כפולה לקורבנות לשלם את הכופר.

ראשית, היא משנה את קוד הנעילה של המכשיר, וחוסמת את שימוש הקורבן במכשיר. קוד הנעילה החדש מוגדר כערך אקראי, שאינו מאוחסן במכשיר ולא נשלח לשום מקום, ולכן אין אפשרות, לא לקורבן ולא למומחה אבטחה לשחזר את הקוד. לאחר תשלום כופר, התוקף יכול מרחוק לאפס את קוד הנעילה ולפתוח את המכשיר.

שנית,, DoubleLocker מצפינה את כל הקבצים מספריית האחסון הראשית של המכשיר בצירוף סיומת הקובץ "Cryeye.".

תשלום הכופר המבוקש כדי לשחרר את המכשיר והקבצים עומד על 0.0130 ביטקוין, שהם כיום כ-72 דולרים והמסר מדגיש, שהוא חייב להיות משולם בתוך 24 שעות. אם הכופר לא ישולם, הנתונים יישארו מוצפנים והמכשיר יישאר נעול.

כך נראים הקבצים המוצפנים במכשיר הנגוע ב-DoubleLocker:

הודעת דרישת הכופר במכשיר נגוע ב-DoubleLocker

לוקאס סטפנקו, חוקר נוזקות בחברת ,ESET שזיהה את נוזקת הכופר: "הודות לשורשים הטרויאנים שלה, DoubleLocker יכולה בעתיד להפוך למה שאנו קוראים לו 'כופר-בנקאי'. נוזקה התוקפת ב-2 שלבים, ראשית גונבת את פרטי הכניסה לחשבונות הבנק או ה-PayPal ולאחר מכן נועלת את המכשיר ומצפינה את הנתונים כדי לדרוש כופר. למעשה, כבר איתרנו גרסת מבחן של נוזקה מסוג זה כבר במאי 2017".

איך נפטרים מהנוזקה?
בדרישת הכופר, התוקפים מזהירים את הקורבן מלהסיר או לחסום את הנוזקה: "ללא התוכנה על המכשיר לעולם לא תצליח לגשת לקבצים שלך". כדי למנוע הסרה לא רצויה של התוכנה, התוקפים ממליצים גם להשבית את תוכנת האנטי-וירוס של המשתמש.

בכל נושא מומלץ להתעלם מההצעות של התוקפים. משתמשים שמותקנת על מכשירם תוכנת אבטחה אמינה מוגנים מ-DoubleLocker.

אמיר כרמי, מנהל הטכנולוגיות של ESET בישראל: "עבור מרבית המשתמשים, שאינם פורצים את המכשיר או משתמשים בכלי פיתוח מיוחדים, במידה ונדבקתם בנוזקה, הדרך היחידה לשחזור הגישה למכשיר היא באמצעות איפוס הגדרות היצרן. באשר לתיקיות והקבצים המוצפנים, נכון לעכשיו, לא ניתן לשחרר אותם. לכן, חשוב לוודא, שהמידע, שנשמר על המכשיר, מגובה לענן, ובמיוחד אנשי הקשר והתמונות, שלא תמיד מסונכרנים אוטומטית לענן. כמובן שחשוב גם להתקין תוכנת אבטחה יעילה ומוכרת להגנה על המכשיר".

סרטון הדגמה