Android lunavara levik on küll alates 2017. Aastast olnud languses, kuid hiljuti avastasid ESET’I teadlased uue lunavara perekonna Android/Filecoder.C. Ohvrite kontaktide nimekirju kasutades proovib see SMS’ide abil kahjulike linkidega edasi levida.
Uut lunavara levitati Redditi lehel pornoga seotud teemade kaudu. ESET andis teada lunavara levitamise aktsioonis kasutatud pahatahtlikust profiilist, kuid see on endiselt aktiivne. Lühikese aja vältel liikus aktsioon ka “XDA arendajate” foorumis, mis on android arendajate forum, kuid lähtuvalt ESET’i teadaandest eemaldasid operaatorid pahatahtlikud postitused.
„Meie avastatud aktsioon on väike ja üsna amatöörlik. Siiski, kui levitamine muutub arenenumaks, võib sellest uuest lunavarast saada tõsine oht“, märgib uurimist juhtinud ESET’i arendajaLukáš Štefanko.
Uus lunavara on tähelepanuväärne oma levimismehhanismi poolest. Enne failide krüpteerima hakkamist saadab ta igale ohvri kontaktide listis olevale aadressile hulga sõnumeid, meelitades adessaate klõpsama pahatahtlikul lingil, mis viib lunavara installeerimis failini. “Teoreetiliselt võib see põhjustada nakkuste tulva – seda enam, et pahavaral on pahatahtlikuks sõnumiks 42 keeleversiooni. Õnneks peavad isegi mitte midagi kahtlustavad kasutajad märkama, et sõnumid on halvasti tõlgitud ning mõnedes sõnumites pole mingit loogikat”, sõnab Lukáš Štefanko.
Peale tavapäratut levi ismehhanismi on Android/Filecoder.C’l vähe kõrvalekaldeid krüpteerimisel. See jätab kõrvale suuremahulised arhiivid (üle 50 MB) ja väiksed pildid (alla 150 kB) ning selle krüpteeritavate failitüüpide loend sisaldab paljusid Androidiga mitte seotud kirjeid, samas puuduvad ka mõned Androidile tüüpilised laiendid. “Ilmselt on nimekiri kopeeritud kurikuulsa Wannacry lunavara pealt”, täheldab Štefanko.
Ebatavalisele lähenemisele viitavad ka teised intrigeerivad elemendid, mida selle pahavara arendajad on kasutanud. Erinevalt tüüpilisest Androidi lunavarast ei takista Android/Filecoder.C kasutaja juurdepääsu seadmele lukustades ekraani. Lisaks pole lunavara määratletud kodeeritud väärtusena, selle asemel luuakse dünaamiliselt summa, mida ründajad failide dekrüpteerimise lubaduse eest taotlevad, kasutades konkreetsele ohvrile lunavara abil määratud kasutaja ID’d. Selle protsessi tulemuseks on kordumatu lunavara arv, jäädes vahemikku 0,01-0,02 BTC.
“Ainukordse lunavara trikk on uudne, me pole seda varem ühegi Androidi ökosüsteemi pahavara puhul näinud”, ütleb Štefanko. “Tõenäoliselt on see mõeldud ohvritele maksete määramiseks. See ülesanne lahendatakse tavaliselt luues iga krüptitud seadme jaoks ainukordne Bitcoin rahakott. Selle aktsiooni käigus oleme näinud ainult ühe Bitcoin’i rahakoti kasutamist.”
Lukáš Štefanko sõnul on kasutajad, kelle seadmed on turvatud ESET’i Mobile Security’ga, selle ohu eest kaitstud. “Nad saavad hoiatuse pahatahtliku lingi eest; kui nad hoiatust eiravad ja rakenduse alla laevad, blokeerib turvalahendus selle.”
See avastus näitab, et lunavara kujutab endast endiselt Androidi mobiiliseadmete jaoks ohtu. Turvalisuse tagamiseks peaksid kasutajad kinni pidama peamistest turbepõhimõtetest:
- Värskendage oma seadmeid; ideaaljuhul seadke need automaatselt parandama ja värskendama, nii et te jääte kaitstuks.
- Kui võimalik, kasutage Google Play’d või mõnda muud usaldusväärset rakenduse pakkujat. Need turud ei pruugi olla pahatahtlikest rakendustest vabad, kuid teil on hea võimalus neid vältida.
- Enne mis tahes rakenduse installimist kontrollige sellele antud hinnanguid ja arvustusi. Keskenduge negatiivsetele, kuna need pärinevad sageli usaldusväärsetelt kasutajatelt, samas kui positiivne tagasiside on sageli ründajate loodud.
- Keskenduge rakenduse taodeldud lubadele. Kui need näivad rakenduse funktsioonide jaoks ebapiisavad, vältige rakenduse alla laadimist.
- Kasutage seadme kaitsmiseks usaldusväärset mobiilset turvalahendust.
Lisateabe saamiseks lugege blog’I We Live Security.