Telewizory z Android TV mogą zostać “zablokowane” przez ransomware FLocker

15 czerwca, 2016

Eksperci ds. bezpieczeństwa z firmy Trend Micro ostrzegają przez powracającym zagrożeniem FLocker. Ransomware infekuje “inteligentne” telewizory z systemem Android TV oraz smartfony z systemem Android, po czym wyświetla komunikat z żądaniem zapłaceniem okupu w wysokości 200 dolarów w postaci upominkowych kart iTunes.

Wszystkich właścicieli podobnych telewizorów uspokajamy, że FLocker nie szyfruje systemowych plików, a jedynie wyświetla ostrzegawczy komunikat, który da się usunąć bez większych nakładów pracy i bez specjalistycznej wiedzy z zakresu budowy systemu Android TV. Nie zmienia to jednak faktu, że FLocker w swoim działaniu przypomina pierwsze odmiany ransomware, które — podkreślmy — do realizowania płatności za odblokowanie dostępu do komputera wykorzystywały system płatności Ukash — jednak nie szyfrowały plików. Pierwsze próbki szkodnika FLocker (wykrytego w maju 2015 roku jako ANDROIDOS_FLOCKER.A lub znanego pod inną nazwą — Frantic Locker) zostały zebrane przez badaczy z Trend Micro w liczbie nie przekraczającej 8 tysięcy. Obecnie, eksperci obserwują znaczny wzrost kampanii z udziałem FLockera, gdzie od kwietnia 2016 roku zaobserwowano ponad 1200 różnych wariantów ransomware FLocker.

kmorowski policja
Pierwsze ransomware — potocznie nazywane “wirus policja”, “wirus Komorowski”. Źródło, komputerswiat.pl

W jaki sposób dochodzi do infekcji?

Inteligentny telewizor, tak jak inne urządzenia IP, są podłączone do domowej sieci przewodowej lub bezprzewodowej. Szkodnik rozprzestrzenia się za pośrednictwem złośliwych załączników e-mail lub jako link prowadzący do niebezpiecznej strony internetowej w wiadomościach SMS. Wykorzystywana tutaj jest socjotechnika, gdzie przestępcy próbują przekonać odbiorcę do wykonania instrukcji (zainstalowania aplikacji, kliknięcia w link).

Po pierwszym uruchomieniu, FLocker sprawdza, czy urządzenie znajduje się w jednym z krajów: Kazachstan, Azerbejdżan, Bułgaria, Gruzja, Węgry, Ukraina, Rosja, Armenia, Białoruś. Jeśli tak, ransomware oczekuje 30 minut, po czym uruchamia usługę w tle żądając przyznania uprawnień systemowych. W przypadku, kiedy użytkownik odrzuci prośbę, FLocker wyświetla fałszywy komunikat aktualizacji systemu Android TV i zamraża go. W tym czasie FLocker łączy się z serwerem C&C. Ponadto: 

  • pobiera nową aplikację misspelled.apk, która może robić zdjęcia osobom siedzącym przed telewizorem (o ile telewizor posiada wbudowaną kamerę),
  • pobiera plik HTML z elementami JS, który odpowiada za wyświetlanie komunikatu z żądaniem okupu i zdjęć zrobionych przez kamerę. 

Jeśli urządzenie jest zablokowane, ransomware zbiera różne informacje o urządzeniu, w tym: numer telefonu, listę kontaktów, lokalizację i inne. Dane są szyfrowane zahardkodowanym w kodzie szkodnika kluczem AES i zakodowane w base64 oraz wysyłane do C&C. 

Flocker screen
Komunikat o blokadzie ekranu.

W jaki sposób się chronić?

Ransomware FLocky wymaga do instalacji uprawnień administratora. Wydaje się, że to już wystarczy, aby użytkownikowi zaświeciła się czerwona ostrzegawcza lampka. Niestety tak nie jest.  

Jeśli już dojdzie do zablokowania urządzenia, należy skontaktować się z jego producentem. Innym sposobem na usunięcie ransomware FLocker z Android TV jest sparowanie telewizora z komputerem za pomocą kabla USB, włączenie procesu debugowania oraz uruchomienie komendy “PM clear %pkg%” za pośrednictwem oprogramowania ADB Shell (Android Debug Bridge). Komenda uzyskuje dostęp do zawartości pamięci, ubija proces szkodnika i odblokowuje ekran. Szkodliwą aplikację należy odinstalować i usunąć przyznane jej prawa administratora.

Do zabezpieczania urządzeń mobilnych z systemami Android i Android TV warto zainstalować oprogramowania antywirusowe, np. Trend Micro Mobile Security lub Trend Micro Mobile Security Personal Edition, które chroni użytkowników przed podobnymi wirusami i innymi zagrożeniami sieciowymi. Aplikacje dostępne są w Google Play. 

Kilka próbek SHA1:

EC52052B4DC8C37708F9CD277A1EFAAABC4FE522
392E8B90431DFE55CA03E04A49FCE1514D61638E
73CFB54BD6830842553289D351A5C40EC821CE29
EB4764C55F092006FE68A533D337BDA21CFFCBE7
57236520EE6FCB12ACB43A5CACE00EBBB7B9E257
2A8381E2B2FAF165F03CCF8BE2CCB82AE2BC6022
1E43ED84DD1E3ED18E3C4DAADF163B9E25217E0C
BB7CF8958F3484AAD73D57A6995E483205367743
9C21A08BD4E329B5242B130765A420EB0DF6CF91
768720CCD207B37942477CCA7285CF1DFDF7C0C7
F926D140680E84C59B0DA62FF08A4ABC42D209D3
054ACD9B7D569FCC00591CECAA378578019C848F
130F2311A3D4A9095AB7EDBAE54C4985BB59F384
1B112B8CE74BA85175628C1139CE77C8F5B867EC
F230C9AFB23388F45127B09125E2EF34B5470F46
27D6595EA510D94D0E2EE3A9F9A878EB4B56195A
43E45499EA26406D8F3B8F661D58411A2D02073F
D35FD629DD2D02D919F6538C0B3DF896A2A6FC0D
7C975AB7C7017A298BBE149B7F60303A3066691B
2EDAAB6EDF0DFE789462BB2985F7E27E73C9DE43
3E309D1AC8C03DA8E63B5A8F5E82061C5448A2C9

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
1 Komentarz
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]