пятница, 4 сентября 2015 г.

Новое вымогательское ПО для Android использует протокол XMPP

Вредонос маскируется под видеопроигрыватель и использует ранее не применявшиеся средства связи с C&C-сервером.
Специалисты компании Check Point Software обнаружили новый вид вымогательского ПО для ОС Android. Отличительной особенностью данного вредоноса является использование протокола XMPP для связи с C&C-сервером и получения от него команд.
image
Вымогательское ПО устанавливается со сторонних магазинов приложений или как самостоятельный APK-файл. Обнаруженный специалистами Check Point экземпляр выдавал себя за мобильную версию Adobe Flash Player, официальная поддержка которого завершилась еще в 2012 году. Отметим, что при установке вредоноса пользователь должен подтвердить даваемые приложению разрешения и разрешить установку. После этого вредоносное ПО шифрует все данные на телефоне и выводит сообщения якобы от АНБ США с требованием выкупа. Обычно у жертв требуют от $200 до $500 – по подсчетам Check Point, злоумышленники уже получили таким образом от $200 тысяч до $500 тысяч.
Наибольший интерес у экспертов вызвало использование протокола XMPP для получения команд с C&C-сервера. Данный протокол обычно используется в приложениях для мгновенного обмена сообщениями.
«Использование XMPP значительно затрудняет обнаружение C&C-трафика. К тому же, отличить вредоносный трафик от легитимного будет сложно, – сообщается в отчете Check Point. – Использование XMPP также позволяет обойти такие методы защиты, как мониторинг подозрительных URL».
Эксперты сообщили, что, поскольку данная технология использует внешние библиотеки для связи, вредоносное ПО не требует дополнительных приложений, которые должны быть установлены на устройстве. Помимо этого, весь C&C-трафик шифруется, поскольку XMPP нативно поддерживает протокол TLS.
Отмечается, что при заражении устройства злоумышленники получали данные о его местоположении. Помимо этого, собирались данные об операторе мобильной связи, услугами которого пользовалась жертва. После этого создавалось специальное сообщение с требованием выкупа, учитывающее эти данные.
Эксперты Check Point уведомили операторов серверов XMPP, через которые передавались C&C-команды, после чего учетные записи злоумышленников были отключены

Источник:  securitylab.ru

Комментариев нет:

Отправить комментарий