tisdag 11 april 2017

Ny ransomware för Android kringgår alla antivirusprogram

Zscaler ThreatLabZ har hittat en ny variant av Android Ransomware. Det som gör denna variant speciellt skrämmande är att den varit oupptäckt av alla antivirusprogram som testats mot den. Zscalers undersökning avslöjar flera intressanta resultat.

En av de utsatta apparna kallas 'OK', och det är en av de mest populära ryska sociala nätverksapparna. Den utsatta legitima appen finns tillgänglig på Google Play Store och har installerats mellan 50 miljoner - 100 miljoner gånger. Det är viktigt att notera att OK-appen som finns tillgänglig på Google Play Store är inte skadligt. Lyckligtvis har Zscaler ännu inte sett den nya Ransomwarekoden på Google Play Store, men denna artikel beskriver de tekniker som förbättrar chanserna för payloaden att ta sig in på Google Play Store.

Den nya ransomwarekoden för Android ligger lågt under de första fyra timmarna efter att den infekterat en enhet. På så vis luras användaren att tro att den nyinstallerade appen gör precis det den ska, samtidigt kringgås antivirussystem vid exekveringen av appen.



Efter fyra timmar visas en dialogruta som ber användaren att tillföra en "device administrator". Om användaren väljer "Cancel" visas dialogrutan direkt igen och förhindrar användaren att avinstallera appen. 


Så snart användaren trycker på "Activate-knappen" dyker en låst helskärm upp med uppmaning om att betala en lösensumma. Zscaler har analyserat den skadliga koden för att se om den stjäl data från användaren, men fann inga tecken på att information läckte.

Zscalers analytiker kan också bekräfta att den skadliga koden inte innehåller någon funktion för att återställa den infekterade enheten. Koden innehåller funktioner som meddelar en "Command & Control-server" att enheten är infekterad, men inga funktioner för att bekräfta till angriparen att användaren har betalat lösensumman.


Zscaler beskriver på sin blogg hur infketion av legitima appar automatiserats så att den kan infketera flera legitima appar utan manuell handpåläggning:
Steg 1: "Disassemble" den legitima appen
Steg 2: Lägger till nödvändiga rättigheter; Activity/BroadcastReceiver- poster som krävs för den skadliga koden i filen AndroidManifest.xml
Steg 3: Kopierar nödvändiga bilder och layout-filer till "res directory"
Steg 4: Tillför strängar som används för meddelandet om lösensumman i res\values\strings.xml file
Steg 5: Kopierar skadliga .smali-filer till "smali directory"
Steg 6: "Assemblar" apk, åter-signerar det nu installationsklara paketet.
Genom välkammouflerad kod döljer malware-skaparen syftet med sin kod för att kunna få koden godkänd i Google Play Store:
                                  
Om du drabbats kan du re-boota din enhet i "Safe Mode" vilket inaktiverar alla tredjeparts-applikationer (här beskrivs hur). Ta bort administratörsrättigheterna för den infekterade ransomware-appen och avinstallera därefter appen. Avsluta med en re-boot av din enhet.
Zscaler ThreatLabZ undersöker och analyzerar malware för att öka medvetandet om nya attack-verktorer, metoder och ursprung, och för att ständigt förstärka skyddet för Zscaler-kunder.
Analysen är genomförd av Gaurav Shinde och Viral Gandhi på Zscaler.
WeClouds webbsäkerhetslösning från Zscaler analyserar allt innehåll i den data som hämtas från webben och bedömer det genom flera olika jämförelser och beteendeanalyser. Skanningen av http/https sker i realtid och skyddar användare och system, oavsett var de kopplat upp sig eller med vilken typ av enhet, genom att styra trafiken via någon av skannings-noderna i det globala säkerhetsnätverket.

www.wecloud.se
info@wecloud.se