Эксперт исследовательской компании Blue Coat Эндрю Брандт зафиксировал волну атак на смартфоны и планшеты под управлением Android. По его словам, для заражения мобильных устройств вымогательским ПО злоумышленники используют набор эксплоитов.
«Впервые на моей памяти набор эксплоитов успешно устанавливает вредоносные приложения на мобильное устройство без каких-либо действий со стороны пользователя», – цитирует Securitylab Брандта.
Исследователь обнаружил новый метод атак, когда после загрузки с веб-страницы вредоносной рекламы с JavaScript устройство на Android инфицируется вымогательским ПО. В ходе атаки на дисплей планшета (исследователь использовал устройство от Samsung на базе Android 4.2.2 с прошивкой Cyanogenmod 10) не выводилось привычное диалоговое окно, запрашивающее разрешения на установку приложений.
Проконсультировавшись с экспертом Zimperium Джошуа Дрейком, Брандт установил, что используемый в ходе атаки JavaScript содержит эксплоит для уязвимости в библиотеке libxslt, утекший после взлома компании Hacking Team. По словам Дрейка, полезная нагрузка эксплоита (исполняемый файл Linux ELF с названием module.so) содержит код инструмента Towelroot, появившегося в 2014 году. Полезная нагрузка ELF в свою очередь содержит код, загружающий и устанавливающий троян-вымогатель.
Некоторые домены, с которых осуществляется атака, были созданы менее месяца назад, однако сама атака началась самое позднее в середине февраля нынешнего года. Используемое злоумышленниками вымогательское ПО Cyber.Police имеет схожие черты с несколькими старыми семействами вымогателей, применяемых еще до появления шифровальщиков. Троян выводит на дисплей сообщение якобы от правоохранительных органов, сообщающее, будто пользователь просматривал в браузере запрещенный контент.
Инфицировав систему, Cyber.Police не шифрует файлы жертвы, а блокирует само устройство, превращая его в «кирпич». За возможность снова пользоваться смартфоном или планшетом требуется выплатить выкуп, предоставив злоумышленникам коды двух 100-долларовых подарочных карт магазина iTunes. Оплата в таком виде весьма необычна для подобных атак. Как правило, вымогатели требуют выкуп в биткойнах или другой криптовалюте.