Новая программа-вымогатель для Android обходит все антивирусные программы

Новая программа-вымогатель для Android обходит все антивирусные программы

Nail для "Хай-теч вам в бок"

Команда Zscaler ThreatLabZ обнаружила новый вариант программы-вымогателя для Android. Крайне опасно в этом открытии то, что программа обошла все антивирусные программы на момент написания этой заметки. Во время нашего расследования мы обнаружили некоторые другие интересные находки.


Одним из целевых приложений является "ОК" — развлекательное приложение одной из самых популярных российских социальных сетей. Целевое приложение доступно в магазине Google Play и было установлено от 50 000 000 до 100 000 000 раз. Важно отметить, что приложение "ОК", доступное в магазине Google Play, НЕ ЯВЛЯЕТСЯ вредоносным. К счастью, пока мы не заметили новый наплыв приложений-вымогателей в магазине Google Play, но как Вы сейчас прочтёте, приемы, использованные этой программой, увеличивают шансы вредоносного кода в продвижении внутри магазина Google Play.


Что происходит, когда вредоносный пакет установлен?

Аналогично агрессивным образцам рекламного ПО, найденным в магазине Google Play, эта вредоносная программа не проявляет себя в течение первых четырех часов после установки, позволяя оригинальному приложению работать без какого-либо вмешательства. Этот метод также позволяет вымогателю обходить антивирусные программы, пока приложение работает. После четырех часов пользователи видят запрос о добавлении администратора устройства как показано ниже.


Запрос администратора устройства


Даже если пользователь нажимает кнопку Отмена, запрос тут же появляется вновь, не позволяя пользователю совершать другие действия или удалить приложение. Как только пользователь нажимает кнопку Активировать, экран блокируется и отображается требование о выкупе.


Требование о выкупе


Мы проанализировали образец дальше, чтобы понять, действительно ли эта вредоносная программа отправляет данные пользователя на сервер. Мы не нашли никаких подтверждений утечки личных данных, как было заявлено в требовании и не были удивлены, когда обнаружили, что вымогатель не способен разблокировать телефон пользователя, вернув его в рабочее состояние.


Независимо от того, отправит пользователь запрашиваемую сумму выкупа на электронный кошелек злоумышленника или нет, эта вредоносная программа не перестанет функционировать. Как только экран телефона заблокирован, программа-вымогатель уведомляет свой сервер управления о новой жертве. Любопытно, что в этой программе отсутствует функционал, позволяющий убедиться, что пользователь заплатил выкуп, и, таким образом, она продолжает действовать.


Обмен информацией с сервером контроля


Способ заражения

Проанализировав как чистые приложения заражаются этим вирусом, мы поняли, что автор вредоносной программы не заражал каждое из этих приложений вручную; вместо этого автор придумал автоматизированный способ для заражения нескольких чистых приложений одним способом. Вот как выглядит этот процесс:

Шаг 1: Разборка чистого целевого приложения
Шаг 2: Вставка необходимых разрешений и записей Activity/BroadcastReceiver, требуемых для вымогателя, в файл AndroidManifest.xml
Шаг 3: Копирование необходимых изображений и файлов макета в каталог res
Шаг 4: Вставка строк, используемых для требования о выкупе в файл res\values\strings.xml
Шаг 5: Копирование вредоносных .smali файлов в папку smali
Шаг 6: Сборка APK, повторная подпись, и — файл готов к установке


Как он успешно обходит антивирусные системы

Нет никаких сомнений, что автор этого вредоносного ПО применил комбинацию технических приёмов, чтобы избежать обнаружения. Большинство антивирусных программ анализируют образцы статически, динамически, или комбинируя оба способа. Введённый вредоносный код в этом примере КРАЙНЕ обфусцирован, то есть запутан. Адрес сервера контроля и номер телефона шифруются с помощью AES (Advanced Encryption Standard). Почти все строки, имена методов, имена переменных и имена классов замаскированы таким образом, что крайне сложно понять код. Большинство из этих методов вызывается с использованием рефлексии Java, позволяя автору избежать обнаружения при статическом анализе.


Большинство антивирусных программ запускают проверяемые объекты для выполнения в течение нескольких секунд или минут, чтобы обнаружить вредоносное поведение, проявленное приложением. В этом случае вредоносная программа не показывает своего присутствия до тех пор, пока не пройдёт четыре часа. Таким образом, автор вредоносной программы обманывает динамический анализ антивирусных систем.


Учитывая тактику скрытности, выявленную в этом примере, не трудно представить себе, что автор смог успешно загрузить это приложение-вымогатель в магазин Google Play.


Пример обфусцированного кода


Но не всё так плохо

Если Вы заражены, загрузите устройство в безопасном режиме, который отключает все сторонние приложения. Снимите права администратора устройства для приложения-вымогателя. Далее удалите приложение и повторно перезагрузите устройство в нормальном режиме. Чтобы свести к минимуму риск подобных инфекций в будущем, перейдите в Настройки/ Безопасность/Администраторы устройства и снимите флажок “Неизвестные источники”. Самое важное, всегда стоит загружать приложения только из надежных источников, таких, как магазин Google Play.


ThreatLabZ исследует и анализирует варианты вредоносного ПО для повышения осведомленности о новых векторах, методах и источниках атак, а также для обеспечения постоянной защиты клиентов компании Zscaler.

Перевод статьи: https://www.zscaler.com/blogs/research/new-android-ransomware-bypasses-all-antivirus-programs