<
יום ראשון , נובמבר 19 2017
מבזקים
דף הבית > נושאים בכותרות > אבטחה ו-Cyber > תוכנת כופר חדשה לאנדרואיד: מצפינה את הקבצים ונועלת את המכשיר

תוכנת כופר חדשה לאנדרואיד: מצפינה את הקבצים ונועלת את המכשיר

חוקרי חברת אבטחת המידע ESET איתרו לראשונה תוכנת כופר לאנדרואיד המנצלת את שירותי הנגישות של מערכת ההפעלה של אנדרואיד. חוץ מלהצפין את הקבצים השמורים במכשיר הנוזקה נועלת את מכשיר הקורבן. 

 בתחילת השנה דיווחה ESET על עליה של 50% במספר הזיהויים של נוזקות הכופר לאנדרואיד במהלך שנת 2016. השימוש הגובר בסמארטפון הופך אותו למקום אחסון לנתונים יקרי ערך והמידע הרגיש שנאגר במכשירים הופך את מתקפות הכופר לאטרקטיביות יותר עבור פושעי הסייבר. בהתאם ניתן לראות את ההתפתחות של נוזקות הכופר בתחום המובייל.

 הנוזקה החדשה המכונה DoubleLocker, מבוססת על טרויאני לגניבת פרטי בנק ואשראי ומנצלת לרעה את שירותי הנגישות של מערכת ההפעלה אנדרואיד. עם זאת, ל-DoubleLocker אין את הפונקציות הקשורות לגניבת אישורי הבנקאות של המשתמשים ומחיקת את החשבונות שלהם. במקום זאת, יש לה שני כלים רבי עוצמה אחרים לסחיטת כסף מהקורבנות שלה. DoubleLocker יכולה לשנות את סיסמת הנעילה ובכך למנוע גישה למכשיר. בנוסף באפשרותה להצפין את הקבצים והתיקיות הנמצאים על מכשיר האנדרואיד – השילוב הקטלני הזה מופיע לראשונה במערכת ההפעלה של אנדרואיד. "הודות לשורשים הטרויאנים שלה, DoubleLocker יכולה בהחלט בעתיד להפוך למה שאנחנו קוראים לו 'כופר-בנקאי'. נוזקה התוקפת בשני שלבים, ראשית גונבת את פרטי הכניסה לחשבונות הבנק או ה-PayPal ולאחר מכן נועלת את המכשיר ומצפינה את הנתונים על מנת לדרוש כופר. למעשה, כבר איתרנו גרסת מבחן של נוזקה מסוג זה כבר במאי 2017" אומר לוקאס סטפנקו, חוקר נוזקות בחברת ESET שזיהה את נוזקת הכופר.

כיצד היא מופצת? 

DoubleLocker מופצת בדומה לטרויאני לגניבת פרטי בנק ואשראי עליו היא מבוססת. בהתקפה מגיע הקורבן לאתר זדוני או אתר שהודבק, כאשר הוא מתבקש להתקין תוסף מזויף של Adobe Flash Player על מנת לצפות בתוכן שבאתר (יכול להיות סרטון שנשלח אליו לינק או אתר סטרימינג). לאחר התקנת התוסף, הקורבן מתבקש לתת הרשאות מנהל עבור שירות מתחזה שנקרא Google Play Service. ברגע שהתוסף הזדוני מקבל את הרשאות מנהל עבור השירות שלו, הוא מגדיר את עצמו כ Launcher של המכשיר. הגדרה של Launcher באנדרואיד משמעותה האפליקציה שמנהלת את העיצוב של הממשק ושל דפי הבית במכשיר. המשמעות היא שבכל פעם שהמשתמש לוחץ על הכפתור "בית" במכשיר (בדרך כלל הכפתור האמצעי במרבית מכשירי האנדרואיד), מופעל שוב התוסף הזדוני שמפעיל גם את נעילת המכשיר.

cyber-securityנועלת גם את המכשיר וגם את הנתונים

ברגע שהנוזקה משתלטת על המכשיר היא מבצעת שתי נעילות שונות של המידע, סיבה כפולה לקורבנות לשלם את הכופר. ראשית, היא משנה את קוד הנעילה של המכשיר, וחוסמת את שימוש הקורבן במכשיר. קוד הנעילה החדש מוגדר כערך אקראי שאינו מאוחסן במכשיר ולא נשלח לשום מקום, ולכן אין אפשרות, לא לקורבן ולא למומחה אבטחה לשחזר את הקוד. לאחר תשלום כופר, התוקף יכול מרחוק לאפס את קוד הנעילה ולפתוח את המכשיר.

שנית, DoubleLocker מצפינה את כל הקבצים מספריית האחסון הראשית של המכשיר בצירוף סיומת הקובץ "Cryeye.". תשלום הכופר המבוקש על מנת לשחרר את המכשיר והקבצים עומד על 0.0130 ביטקוין, שהם כיום כ-72 דולר והמסר מדגיש כי הוא חייב להיות משולם בתוך 24 שעות. אם הכופר לא ישולם, הנתונים יישארו מוצפנים והמכשיר יישאר נעול. 

כך נראים הקבצים המוצפנים במכשיר הנגוע ב- DoubleLocker : image 2

איך נפטרים מהנוזקה?

בדרישת הכופר, התוקפים מזהירים את הקורבן מלהסיר או לחסום את הנוזקה: "ללא התוכנה על המכשיר לעולם לא תצליח לגשת לקבצים שלך". כדי למנוע הסרה לא רצויה של התוכנה, התוקפים ממליצים גם להשבית את תוכנת האנטי-וירוס של המשתמש.

"בכל נושא מומלץ להתעלם מההצעות של התוקפים" מסביר סטפנקו. "משתמשים שמותקנת על מכשירם תוכנת אבטחה אמינה מוגנים מ-DoubleLocker".

"עבור מרבית המשתמשים, שאינם פורצים את המכשיר או משתמשים בכלי פיתוח מיוחדים, במידה ונדבקתם בנוזקה, הדרך היחידה לשחזור הגישה למכשיר היא באמצעות איפוס הגדרות היצרן. באשר לתיקיות והקבצים המוצפנים, נכון לעכשיו לא ניתן לשחרר אותם" אומר אמיר כרמי, מנהל הטכנולוגיות של ESET בישראל. "לכן חשוב לוודא שהמידע שנשמר על המכשיר מגובה לענן, ובמיוחד אנשי הקשר והתמונות שלא תמיד מסונכרנים אוטומטית לענן. כמובן שחשוב גם להתקין תוכנת אבטחה יעילה ומוכרת להגנה על המכשיר."

אודות ESET

ESET היא חברת אבטחת המידע הרביעית בגודלה בעולם הנחשבת לחלוצת תחום האנטי וירוס, עם יותר מ-100 מיליון משתמשים מוגנים ופריסה במעל ל- 200 מדיניות ברחבי העולם. ESET מפתחת ומייצרת פתרונות הגנה המצטיינים בזיהוי ומיועדים למגזר הפרטי והעסקי כאחד וכוללים הגנה מפני ווירוסים, מתקפות מקוונות, גניבת זהויות, הגנה על תשלומים ברשת, הצפנת מידע עסקי, הקשחת תהליכי התחברות לרשת ועוד. בין לקוחותינו ניתן למנות את משרדי ממשלה ועיריות, מוסדות חינוך ובריאות, חברות היי-טק ועסקים במגוון תחומים רחב. פתרונות האנטי וירוס של ESET הם הנמכרים ביותר בישראל בשוק הפרטי.

 

אודות מערכת ITNEWS מאיר עשת

מנהל/עורך אתר ITNEWS. בוגר כלכלה ומנה"ס באונ' בן גוריון ו- MBA בירושליים. בעבר: כהן כיועץ כלכלי מטעם המדינה בהולנד ובהודו. היה סמנכ"ל שיווק בברדר, משנה למנכ"ל בסטארטאפ TVNGO, מנהל IT מגזין של גלובס בשנתיים האחרונות.