Virușii care te șantajează, o problemă mare pentru posesorii de telefoane Android

de: Octavian Palade
24 08. 2015

Se știe că Android este cel mai vulnerabil sistem de operare pentru smartphone-uri, iar hackerii aduc tehnologii din ce în ce mai avansate în încercarea de a scoate bani de pe urma posesorilor. Cel mai nou exemplu de virus de PC portat pe smartphone este virusul de tip ransomware.

Ransomware este un tip de virus ce restricţionează utilizarea dispozitivului pe care îl infectează, necesitând intervenția utilizatorilor finali pentru a recâştiga controlul asupra dispozitivului respectiv.

Virusul poate fie cripta sistemul şi documentele acestuia, fie se preface că acţionează astfel. Totuşi, în ambele cazuri, utilizarea dispozitivului devine dificilă pentru utilizator.

Până acum, viruşii ransomware au targetat computerele, însă acum și-au extins raza de acţiune şi în zona telefoanelor mobile. Anul acesta, ameninţarea viruşilor ransomware a fost majoră în cazul telefoanelor mobile – de la apariţia primei variante ce ameninţă sistemele IOS până la prima variantă pentru Android ce poate chiar cripta datele telefonului. Ruchna Nigam, Security researcher în Laboratoarele FortiGuard ale Fortinet, printr-un comunicat remis Playtech, oferă o recapitulare a viruşilor ransomware pentru telefoanele mobile cunoscuţi şi prezintă sfaturi în cazul intruziunii acestora:

FakeDefend, descoperit în iulie 2013, este un virus ce afectează telefoanele cu sistem Android. Acesta apare sub forma unei aplicaţii antivirus falsă ce propune utilizatorilor să plătească pentru o subscripţie de 99,98 dolari, în urma unei scanări false ce arată o listă de viruşi aparent prezenţi în sistemul mobilului. Dacă utilizatorul decide să plătească, detaliile cardului de credit sunt copiate în serverul hacker-ului. În plus, indiferent dacă utilizatorul plăteşte sau nu, virusul închide anumite sisteme de operare şi alte procese asociate cu antivirusul. Ulterior, acesta va distruge aplicaţiile sistemului Android stocate pe cardul SD, cu posibilitatea de a şterge orice aplicaţie, precum şi backup-ul memoriei ROM. În final, la 6 ore în urma instalării virusului, ecranul telefonului se va bloca odată cu apăsarea butonului de blocare/deblocare, iar telefonul nu va mai putea fi folosit. Singurul mod de a scăpa de el este revenirea la setările din fabrică.

Cryptolocker, descoperit în mai 2014, apare sub forma unei aplicaţii de descărcare video BaDoink. Chiar dacă virusul nu cauzează daune datelor telefonului mobil, acesta va afişa pe ecranul de blocare customizat în funcţie de localizarea geografică a utilizatorului. Ecranul de blocare este aprins la fiecare 5 secunde, cauzând utilizarea greoaie a telefonului şi dezinstalarea dificilă a virusului. Suma de răscumpărare este de 300 de dolari, dar virusul poate fi dezinstalat în safe mode.

Simplocker, descoperit în iunie 2014, apare sub forma unor aplicaţii infestate cu virusul Trojan, precum Flash player. Acesta este primul virus ransomware real pentru Android, în sensul că poate cripta fişierele telefonului. Telefoanele infestate sunt blocate iar pe ecran este afişată o avertizare de a plăti pentru a debloca telefonul. Probleme cauzate: Criptează fişiere cu extensia “jpeg”, „jpg”, „png”, „bmp”, „gif”, „pdf”, „doc”, „docx”, „txt”, „avi”, „mkv”, „3gp” sau „mp4”, declanşând algoritmul AES. Virusul foloseşte software-ul TOR pentru a comunica în mod regulat cu un server ce răspunde la comenzile de a dezactiva virusul. Chiar şi după dezinstalarea aplicaţiei în safe mode, fişierele trebuie criptate. O altă variantă este ca virusului ransomware să necesite permisiunea userului de a intercepta mesajele SMS. În cazul acesta, virusul poate fi dezactivat prin trimiterea unui mesaj ce conţine comanda de dezactivare. Recompensa este de 100 ruble, dar virusul poate fi dezinstalat numai în safe mode.

Excepția de la regulă: iCloud ‘Oleg Pliss’ ranswomware, descoperit în mai 2014, este primul caz raportat de virus pentru dispozitivele Apple. Aceste incidente nu pot fi atribuite unui singur virus, ci unor conturi iCloud compromise, în combinaţie cu o inginerie socială. Se presupune că hacker-ii au exploatat caracteristicile Apple Find My iPhone, iPad şi Mac, şi au reciclat parole. Cu toate acestea, infiltrarea nu funcţionează dacă dispozitivul are deja o parolă setată. Dispozitivele fără parolă vor necesita resetare şi backup-ul memoriei iTunes. Atacatorii cer 100 de dolari ca să nu șteargă toate datele din telefon și, din păcate, singura soluție este resetarea dispozitivului.

În final, Ruchna Nigam pune la dispoziţie câteva sfaturi pentru a evita aceste tipuri de intruziune. În primul rând, utilizatorii de iPhone şi iPad trebuie să îşi paroleze telefoanele. Acest lucru forţează folosirea parolei în timpul activării caracteristicii Find My iPhone, lucru care constrânge viruşii menţionaţi anterior să fie ineficienţi. Cât despre posesorii de Android, este recomandat ca utilizatorii să instaleze aplicaţii din surse de încredere şi de la dezvoltători. În plus, Un antivirus funcţional instalat pe telefon va preveni sau va avertiza împotriva instalării aplicaţiilor infestate.