Спецпроекты

Check Point: шифровальщики нацелились на мобильные устройства Android

Безопасность Техническая защита

Check Point Software Technologies Ltd. обнаружила новый вариант вредоносного ПО семейства Black Rose Lucy. Блокируя данные пользователя, мошенники под видом ФБР США обвиняли жертву в хранении порнографического контента и требовали выплату штрафа в размере 500 долларов.

Lucy — ботнет Malware-as-a-Service (MaaS) и дроппер, который был предположительно создан в России и обнаружен исследователями Check Point впервые в 2018 году. Два года спустя вредонос Lucy вернулся с обновленными возможностями программы-вымогателя, которые позволяют ему заполучить контроль над устройствами с ОС Android, вносить различные изменения и устанавливать новые вредоносные приложения.

После загрузки на устройство Lucy выводит в окне браузера сообщение якобы от лица ФБР. В тексте говорится, что данные пользователя были отправлены в центр обработки данных департамента киберпреступности ФБР. В сообщении предъявляются обвинения в хранении порнографического контента на устройстве, а также в совершении юридических преступлений, в связи с чем необходимо выплатить штраф. Хакеры запрашивают выкуп в 500 долларов, для этого необходимо ввести данные кредитной карты, что нехарактерно для стандартных программ-вымогателей. Обычно создатели такого вредоносного ПО требуют выкуп в криптовалюте.

Операционная система Android позволяет наделить приложение привилегиями администратора только после того, как пользователь вручную сделает это в настройках. Для этого программа просит пользователя дать свое согласие во всплывающем окне или посредством установки системных настроек. Однако служба специальных возможностей Android может имитировать клики пользователя и автоматизировать взаимодействие между пользователем и устройством, что может быть использовано вредоносным ПО для обхода настроек безопасности. Службы специальных возможностей обычно используются, чтобы позволить пользователям автоматизировать и упростить определенные повторяющиеся задачи. В случае с Lucy, эти службы стали ахиллесовой пятой в системе защиты Android.

Проникнув в устройство пользователя, Lucy отображает на экране сообщение с просьбой разрешить установку сервиса для оптимизации видеопроигрывателя — SVO (Streaming Video Optimization). Дав свое согласие, пользователь предоставляет вредоносному ПО право использовать службу специальных возможностей Android. Сразу после этого хакеры могут приступить к шифрованию данных устройства.

В общей сложности исследователи Check Point зафиксировали около 80 случаев проявления вредоносного ПО Black Rose Lucy.

Схема действия Lucy. Вредоносное ПО загружается и устанавливается на устройство через социальные сети или мессенджер в качестве приложения для видеоплеера. Обманным путем Lucy проникает в службу специальных возможностей Android под видом установки сервиса для оптимизации видеопроигрывателя — VSO (video streaming optimizer). Lucy предоставляет себе права администратора с помощью службы специальных возможностей Android. Вредоносное ПО шифрует все файлы, хранящиеся на устройстве, сохраняя ключ шифрования в общих настройках. В завершение Lucy отображает в окне браузера сообщение с требованием выплаты «штрафа» от лица ФБР, запрашивая данные кредитной карты пользователя.

«С каждым днем появляются новые виды вредоносных программ, меняются методы и схемы атак. Особенно заметно это стало в условиях пандемии и массового перевода сотрудников на удаленную работу. Сейчас крайне важно обеспечить эффективную защиту мобильных устройств, — отметил Василий Дягилев, глава представительства Check Point Software Technologies в России и СНГ. — Чтобы обеспечить защиту устройств, следует обновлять ОС до последней версии, использовать только официальные площадки для скачивания мобильных приложений, использовать специальные решения для информационной безопасности».