Хакеры нацелились на старые Android-устройства

Эксперт отмечает, что для заражения мобильных устройств вымогательским ПО злоумышленники используют набор эксплоитов. По его словам, это первый случай, когда набор эксплоитов успешно устанавливает вредоносные приложения на мобильное устройство без каких-либо действий со стороны пользователя.

В ходе атаки на дисплей планшета (исследователь использовал устройство от Samsung на базе Android 4.2.2 с прошивкой Cyanogenmod 10) не выводилось привычное диалоговое окно, запрашивающее разрешения на установку приложений.

Используемый в ходе атаки JavaScript содержит эксплоит для уязвимости в библиотеке libxslt, утекший после взлома компании Hacking Team. По словам Дрейка, полезная нагрузка эксплоита (исполняемый файл Linux ELF с названием module.so) содержит код инструмента Towelroot, появившегося в 2014 году. Полезная нагрузка ELF в свою очередь содержит код, загружающий и устанавливающий троян-вымогатель.

Некоторые домены, с которых осуществляется атака, были созданы менее месяца назад, однако сама атака началась в середине февраля нынешнего года. Используемое злоумышленниками вымогательское ПО Cyber.Police имеет схожие черты с несколькими старыми семействами вымогателей, применяемых еще до появления шифровальщиков. Троян выводит на дисплей сообщение якобы от правоохранительных органов, сообщающее, будто пользователь просматривал в браузере запрещенный контент.

Инфицировав систему, Cyber.Police не шифрует файлы жертвы, а блокирует само устройство, превращая его в «кирпич». За возможность снова пользоваться смартфоном или планшетом требуется выплатить выкуп, предоставив злоумышленникам коды двух 100-долларовых подарочных карт магазина iTunes. Оплата в таком виде весьма необычна для подобных атак. Как правило, вымогатели требуют выкуп в биткойнах или другой криптовалюте.