Utenti Home       Utenti Aziendali       Chi Siamo       Contratto EULA.

Dettaglio news

Ransomware per Android richiedono come riscatto una Gift Card iTunes: una analisi dei Lab di Sicurezza Quick Heal.
- MERCOLEDÌ 13 DICEMBRE 2017



Solitamente un ransomware richiede soldi o criptovalute dopo aver bloccato un computer, un telefono o dopo aver criptato i dati di un dispositivo. I nostri laboratori di sicurezza però hanno individuato un ransomware per Android nascosto in due app fake, che richiede, dopo aver bloccato il dispositivo infetto, non soldi o criptovaluta, ma una Gift Card di iTunes. Queste carte possono essere vendute sui siti di aste, sui social o nel Dark Web.

Vettore d'infezione
Il tuo smartphone Android può essere infettato da questo ransomware scaricando un app dannosa (che va sotto il nome di "Porn Hub") su store di terze parti, oppure ricevuto via email, bluetooth o siti di condivisione dei file.

Analisi dell'app dannosa Porn Hub
Nome dell'App: Porn Hub
Nome del pacchetto: com.pornhub_tools
MD5: 9fadc90562ce6e275eb6db8e6ca6ddad
Dimensione: 39 KB

Dopo che il ransomware ha bloccato il dispositivo, mostra una nota di riscatto nella quale si chiede appunto una carta regalo iTunes del valore di 200 dollari come penalità per aver guardato materiale pedopornografico. Nella nota viene mostrato un URL: ciò accade se il tuo dispositivo è connesso a Internet.



Se il tuo dispositivo non è connesso, il ransomware mostra una diversa nota di riscatto: in questa versione viene detto che tutti i file sono stati criptati è che si deve pagare un ammontare di circa 100 dollari in Bitcoin per sbloccare il dispositivo e decriptare i dati.


Nella nostra analisi, tuttavia, non abbiamo trovato nessuna traccia di meccanismi di criptazione dei file da parte di questo ransomware. E' quindi possibile recuperare i propri file semplicemente connettendo il dispositivo al PC.

Analisi Tecnica
Quando abbiamo provato ad aprire l'app dannosa, ci è stato subito chiesta la concessione delle  permissioni di amministrazione sul dispositivo. Abbiamo selezionato "cancel", ma l'app ha continuato insistentemente a richiedere le permissioni fino a quando non abbiamo selezionato "activate".

Una volta attivata, l'app verifica per prima cosa se il dispositivo sia connesso o meno ad Internet. Quando il dispositivo è online, l'app raccoglie i dati sul dispositivo (ID dello smartphone, operatore della Sim ecc...).

Questi dati vengono inviati ad URL (HTTP://*******.w*n//private/tuk_tuk.php, il quale carica la webpage dove viene richiesta la Gift Card di iTunes.

Il codice responsabile della connessione  all'URL o del download della pagina HTML. 

Se il dispositivo non è online, l'app carica la pagina HTML che richiede il riscatto in Bitcoin. 

Analisi della falsa app Dropbox
Nome dell'App: Dropbox
Nome del pacchetto: com.example.testlock
MD5: 17bc088027d2f3f71a74beed3a9c715
Dimensione: 415 KB

Abbiamo individuato una seconda app che nasconde un ransomware che richiede una Card di iTunes come riscatto. Questa app usa l'icona di Dropbox (il famoso servizio di file hosting). Quando abbiamo aperto questa app, ci ha chiesto subito la concessione dei permessi di Amministrazione del dispositivo, esattamente come successo per l'app precedente.


Una volta attivata, il ransomware mostra la nota di riscatto nella quale si avvisa che il dispositivo è stato bloccato dall'FBI come pena per aver visualizzato materiale pedo-pornografico. Per sbloccare il dispositivo si richiede una Gift Card di circa 25 Dollari, da pagare entro 72 ore. 




La nota chiede all'utente di inserire il codice di una Gift Card del valore richiesto. Se l'utente immette un codice errato, viene mostrato un messaggio per avvisare l'utente che ha a disposizione solo 2 altri tentativi, dopo i quali il dispositivo verrà bloccato permanentemente.

Dalla nostra analisi è emerso, tuttavia, che questo avviso è falso e viene mostrato solo per spaventare l'utente e indurlo con l'inganno a pagare il riscatto.


Individuazione da parte di Quick Heal
Quick Heal individua con successo questi ransomware come Android.Locker.Aa54f e Android.Locker.Aa550. Raccomandiamo fortemente di non pagare il riscatto, perchè non c'è alcuna garanzia di poter ottenere di nuovo l'acceso ai file o di vedere il proprio dispositivo sbloccato dopo il pagamento. 

Consigli per stare al sicuro dai Ransomware
  1. Prima di scaricare qualsiasi app (anche dal Google Play) verifica la fonte. Controlla il sito web dello sviluppatore e leggi le recensioni.
  2. Se ti è possibile, non scaricare app da app store di terze parti. La maggior parte delle app infette provengono infatti da app store di terze parti. 
  3. Mantieni sempre disabilitata l'opzione "Unknow Sources". Abilitare questa opzione consente infatti l'installazione di app da fonti sconosciute. Vai sulle impostazioni del tuo dispositivo, cerca la sezione "Sicurezza", cerca "Fonti Sconosciute" e disabilita l'opzione. 
  4. Installa un antivirus solido e affidabile, che possa bloccare le app sospette e/o dannose.


Leggi tutte le news     |     Leggi tutti gli update
Ultime news

VENERDÌ 12 LUGLIO 2019
ALERT: il malware Agent Smith fa strage di smartphone Android
Siamo proprio sicuri che il WhatsAPP che stiamo usando in questo momento sul nostro smartphone Android sia quello vero? Siamo sicuri che stia realmente funzionando come c...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »

Chi siamo
Panoramica
La nostra storia
Premi & Certificazioni
Scheda riepilogativa
Clienti
Dicono di noi
Trova un rivenditore
Manuali e schede tecniche
Chiedi aiuto
Contatti
Update
Rivenditori
Diventa rivenditore
Strumenti di supporto
Link rapidi
Rinnova ora
File di installazione
Supporto
Contratto EULA.
Download Upgrade

S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482

© 2019 nwk - Privacy Policy - Cookie Policy - Login