Спецпроекты

Безопасность Техническая защита

Check Point: шифровальщики нацелились на мобильные устройства Android

Check Point Software Technologies Ltd. обнаружила новый вариант вредоносного ПО семейства Black Rose Lucy. Блокируя данные пользователя, мошенники под видом ФБР США обвиняли жертву в хранении порнографического контента и требовали выплату штрафа в размере 500 долларов.

Lucy — ботнет Malware-as-a-Service (MaaS) и дроппер, который был предположительно создан в России и обнаружен исследователями Check Point впервые в 2018 году. Два года спустя вредонос Lucy вернулся с обновленными возможностями программы-вымогателя, которые позволяют ему заполучить контроль над устройствами с ОС Android, вносить различные изменения и устанавливать новые вредоносные приложения.

После загрузки на устройство Lucy выводит в окне браузера сообщение якобы от лица ФБР. В тексте говорится, что данные пользователя были отправлены в центр обработки данных департамента киберпреступности ФБР. В сообщении предъявляются обвинения в хранении порнографического контента на устройстве, а также в совершении юридических преступлений, в связи с чем необходимо выплатить штраф. Хакеры запрашивают выкуп в 500 долларов, для этого необходимо ввести данные кредитной карты, что нехарактерно для стандартных программ-вымогателей. Обычно создатели такого вредоносного ПО требуют выкуп в криптовалюте.

Операционная система Android позволяет наделить приложение привилегиями администратора только после того, как пользователь вручную сделает это в настройках. Для этого программа просит пользователя дать свое согласие во всплывающем окне или посредством установки системных настроек. Однако служба специальных возможностей Android может имитировать клики пользователя и автоматизировать взаимодействие между пользователем и устройством, что может быть использовано вредоносным ПО для обхода настроек безопасности. Службы специальных возможностей обычно используются, чтобы позволить пользователям автоматизировать и упростить определенные повторяющиеся задачи. В случае с Lucy, эти службы стали ахиллесовой пятой в системе защиты Android.

Проникнув в устройство пользователя, Lucy отображает на экране сообщение с просьбой разрешить установку сервиса для оптимизации видеопроигрывателя — SVO (Streaming Video Optimization). Дав свое согласие, пользователь предоставляет вредоносному ПО право использовать службу специальных возможностей Android. Сразу после этого хакеры могут приступить к шифрованию данных устройства.

В общей сложности исследователи Check Point зафиксировали около 80 случаев проявления вредоносного ПО Black Rose Lucy.

Схема действия Lucy. Вредоносное ПО загружается и устанавливается на устройство через социальные сети или мессенджер в качестве приложения для видеоплеера. Обманным путем Lucy проникает в службу специальных возможностей Android под видом установки сервиса для оптимизации видеопроигрывателя — VSO (video streaming optimizer). Lucy предоставляет себе права администратора с помощью службы специальных возможностей Android. Вредоносное ПО шифрует все файлы, хранящиеся на устройстве, сохраняя ключ шифрования в общих настройках. В завершение Lucy отображает в окне браузера сообщение с требованием выплаты «штрафа» от лица ФБР, запрашивая данные кредитной карты пользователя.

«С каждым днем появляются новые виды вредоносных программ, меняются методы и схемы атак. Особенно заметно это стало в условиях пандемии и массового перевода сотрудников на удаленную работу. Сейчас крайне важно обеспечить эффективную защиту мобильных устройств, — отметил Василий Дягилев, глава представительства Check Point Software Technologies в России и СНГ. — Чтобы обеспечить защиту устройств, следует обновлять ОС до последней версии, использовать только официальные площадки для скачивания мобильных приложений, использовать специальные решения для информационной безопасности».

Владимир Бахур

Короткая ссылка