Vyděračské ransomwarové útoky, při kterých jsou zašifrována data a požadované výkupné za jejich rozšifrování nejsou ničím novým. CryptoLocker, WannaCry a v Česku dobře známý Ryuk způsobily obrovské škody organizacím po celém světě. Nedávno došlo i k útokům na české nemocnice a zdravotnická zařízení. Ransomware se ale také stále častěji přesouvá i do mobilního světa a rychle se vyvíjí. Kyberzločinci využívají své zkušenosti s tradičním ransomwarem pro PC.
Příkladem je malware „Black Rose Lucy“, který byl objeven v září 2018 kyberbezpečnostní společností Check Point. Lucy je MaaS (Malware-as-a-Service) botnet a umožňuje také stahování dalších škodlivých kódů na zařízení se systémem Android. Nyní se po téměř dvou letech Lucy vrací s novými ransomwarovými funkcemi, které umožňují převzít kontrolu nad zařízením, provádět změny a instalovat další škodlivé aplikace.
Kyberbezpečnostní společnost Check Point nyní odhalila 80 vzorků nové varianty právě Black Rose Lucy. Hrozba se maskuje za neškodně vypadající aplikace pro přehrávání videí a šíří se hlavně prostřednictvím odkazů na sociálních sítích a v chatovacích aplikacích.
Lucy používá rafinované metody, jak obelstít uživatele a proniknout do zařízení se systémem Android:
- Šíří se prostřednictvím sociálních sítí a chatovacích aplikací a maskuje se jako aplikace pro přehrávání videa.
- Snaží se přimět uživatele, aby povolil službu Accessibility Service a předstírá, že tak povolí falešnou službu VSO pro optimalizaci streamování videa.
- Uděluje si administrátorská oprávnění s využitím právě služby Accessibility Service.
- Šifruje soubory v zařízení a šifrovací klíč uloží do sdílených předvoleb.
- Zobrazí výzvu k zaplacení „pokuty“ od FBI a pro zaplacení požaduje informace o kreditní kartě.
Lucy je sofistikovaná hrozba, který pochází z Ruska. Jakmile do zařízení pronikne a získá nad ním kontrolu, dokončí šifrování požadovaných souborů a ověří, že soubory byly úspěšně zašifrovány. Následně Lucy zobrazí v okně prohlížeče zprávu se žádostí o výkupné. Výkupné se maskuje jako oficiální zpráva od FBI, která oběť obviňuje z držení pornografického obsahu, kvůli čemuž byla data zašifrována a zařízení bylo uzamčeno. Zpráva dále uvádí, že podrobnosti o oběti byly nahrány do datového centra FBI a připojen je i seznamem trestných činů, z jejichž spáchání je oběť obviněna. Oběť je vyzvána k zaplacení „pokuty“ ve výši 500 dolarů a poskytnutí informací o platební kartě. Poskytnutí informací o platební kartě je velmi netradiční, protože mobilní ransomware obvykle vyžaduje platbu v bitcoinech. Napodobení FBI je snahou uživatele vystrašit, vyvolat emoce a přimět ho rychle jednat.
„Očekáváme, že dříve nebo později zažije mobilní svět nějaký opravdu masivní a ničivý ransomwarový útok. Je to děsivá, ovšem velmi reálná možnost. Proto důrazně varujeme, při prohlížení videí na sociálních sítích se raději dvakrát zamyslete a podívejte, než něco přijmete nebo povolíte,“ říká Petr Kadrmas, Security Engineer Eastern Europe ve společnosti Check Point. „Používejte pokročilé bezpečnostní řešení a aplikace stahujte pouze z oficiálních obchodů. Zároveň pravidelně aktualizujte svůj operační systém a aplikace.“