Přejít k hlavnímu obsahu

Vyděračský malware Black Rose Lucy

Pavel Trousil 29.04.2020
info ikonka
Zdroj:

Ransomware se stále častěji přesouvá do mobilního světa. Na sociálních sítích a v chatovacích aplikacích se nyní šíří ruský mobilní ransomware „Black Rose Lucy“. Pozor na něj. Dobře se maskuje.

Vyděračské ransomwarové útoky, při kterých jsou zašifrována data a požadované výkupné za jejich rozšifrování nejsou ničím novým. CryptoLocker, WannaCry a v Česku dobře známý Ryuk způsobily obrovské škody organizacím po celém světě. Nedávno došlo i k útokům na české nemocnice a zdravotnická zařízení. Ransomware se ale také stále častěji přesouvá i do mobilního světa a rychle se vyvíjí. Kyberzločinci využívají své zkušenosti s tradičním ransomwarem pro PC.

 ransomware-nahled

Příkladem je malware „Black Rose Lucy“, který byl objeven v září 2018 kyberbezpečnostní společností Check Point. Lucy je MaaS (Malware-as-a-Service) botnet a umožňuje také stahování dalších škodlivých kódů na zařízení se systémem Android. Nyní se po téměř dvou letech Lucy vrací s novými ransomwarovými funkcemi, které umožňují převzít kontrolu nad zařízením, provádět změny a instalovat další škodlivé aplikace.

Kyberbezpečnostní společnost Check Point nyní odhalila 80 vzorků nové varianty právě Black Rose Lucy. Hrozba se maskuje za neškodně vypadající aplikace pro přehrávání videí a šíří se hlavně prostřednictvím odkazů na sociálních sítích a v chatovacích aplikacích.

 

Lucy používá rafinované metody, jak obelstít uživatele a proniknout do zařízení se systémem Android:

  1. Šíří se prostřednictvím sociálních sítí a chatovacích aplikací a maskuje se jako aplikace pro přehrávání videa.
  2. Snaží se přimět uživatele, aby povolil službu Accessibility Service a předstírá, že tak povolí falešnou službu VSO pro optimalizaci streamování videa.
  3. Uděluje si administrátorská oprávnění s využitím právě služby Accessibility Service. 
  4. Šifruje soubory v zařízení a šifrovací klíč uloží do sdílených předvoleb.
  5. Zobrazí výzvu k zaplacení „pokuty“ od FBI a pro zaplacení požaduje informace o kreditní kartě.

 lucy-8-nahled

Lucy je sofistikovaná hrozba, který pochází z Ruska. Jakmile do zařízení pronikne a získá nad ním kontrolu, dokončí šifrování požadovaných souborů a ověří, že soubory byly úspěšně zašifrovány. Následně Lucy zobrazí v okně prohlížeče zprávu se žádostí o výkupné. Výkupné se maskuje jako oficiální zpráva od FBI, která oběť obviňuje z držení pornografického obsahu, kvůli čemuž byla data zašifrována a zařízení bylo uzamčeno. Zpráva dále uvádí, že podrobnosti o oběti byly nahrány do datového centra FBI a připojen je i seznamem trestných činů, z jejichž spáchání je oběť obviněna. Oběť je vyzvána k zaplacení „pokuty“ ve výši 500 dolarů a poskytnutí informací o platební kartě. Poskytnutí informací o platební kartě je velmi netradiční, protože mobilní ransomware obvykle vyžaduje platbu v bitcoinech. Napodobení FBI je snahou uživatele vystrašit, vyvolat emoce a přimět ho rychle jednat.

Očekáváme, že dříve nebo později zažije mobilní svět nějaký opravdu masivní a ničivý ransomwarový útok. Je to děsivá, ovšem velmi reálná možnost. Proto důrazně varujeme, při prohlížení videí na sociálních sítích se raději dvakrát zamyslete a podívejte, než něco přijmete nebo povolíte,“ říká Petr Kadrmas, Security Engineer Eastern Europe ve společnosti Check Point. „Používejte pokročilé bezpečnostní řešení a aplikace stahujte pouze z oficiálních obchodů. Zároveň pravidelně aktualizujte svůj operační systém a aplikace.


Máte k článku připomínku? Napište nám

Sdílet článek

Mohlo by se vám líbit








Všechny nejnovější zprávy

doporučujeme