Najgroźniejsze aplikacje mobilne do wyłudzania pieniędzy. Nie daj się złapać w pułapkę

Złośliwe aplikacje z gatunku Ransomware należą do grupy najbardziej uciążliwych zagrożeń dla przeciętnego użytkownika urządzenia mobilnego. Oprogramowanie tego typu szyfruje wszystkie dane zapisane w komórkach i tabletach, żądając wysokich opłat za możliwość ich odzyskania. Często oprogramowanie takie przybiera postać fałszywego antywirusa, który „w trosce o dobro naszych plików” zabezpieczył je przed rzekomym groźnym robakiem. Jest to kłamstwo, a każdy, nawet najbardziej przekonujący komunikat wyświetlający się na ekranie smartfona czy tabletu ma jedynie zmusić użytkownika do zapłacenia haraczu. Niestety użytkownicy często ulegają perswazji tracąc zarówno pieniądze, jak i wcześniej zaszyfrowane dane. W większości wypadków, nawet po wniesieniu opłaty, użytkownik nie otrzymuje klucza do ominięcia blokady. / ShutterStock

Złośliwe oprogramowanie typu Ransomware, dotychczas tworzone z myślą o wyłudzaniu pieniędzy od użytkowników komputerów osobistych, coraz śmielej wkracza na rynek urządzeń mobilnych. W 2013 roku pojawiły się pierwsze takie zagrożenia zarówno dla systemu iOS, jak i Android. Specjaliści z laboratorium FortiGuard Labs firmy FORTINET przygotowali zestawienie najpopularniejszych programów typu Ransomware na smartfony i tablety, radząc, jak wykryć oszustwo i nie dać się złapać w pułapkę.

KLIKNIJ W ZDJĘCIE, ABY PRZEJŚĆ DO GALERII

1 FakeDefend

Odkryty w lipcu 2013 roku. Atakuje urządzenia z systemem operacyjnym Android. Ukrywa się pod płaszczem antywirusa, wymuszającego na użytkowniku dokonanie opłaty za zakup pełnej wersji programu. Po zakończeniu pozornego skanowania systemu program wyświetla na ekranie komunikat, że tylko jego pełna wersja może usunąć znalezione “infekcje”.

Wyrządzane szkody: Jeśli użytkownik zdecyduje się zapłacić okup, dane jego karty kredytowej zostają wysłane do serwera atakującego. Ponadto, niezależnie od tego, czy użytkownik zapłaci czy też nie, aplikacja wstrzymuje pewne procesy systemowe oraz procesy popularnych programów antywirusowych (nie możemy użyć innego antywirusa, żeby usunąć FakeDefend’a). Następnie FakeDefend usuwa pakiety znalezione na karcie SD telefonu, które mogą zostać użyte jako kopia zapasowa ROM systemu Android. Wreszcie, 6 godzin po instalacji złośliwego oprogramowania, ekran urządzenia zostaje na stałe zablokowany, co sprawia, że nie nadaje się ono do dalszego użytku.

Korzystanie z urządzenia po infekcji: Bardzo ograniczone. Niemożliwe po upływie 6 godzin.
Cena okupu: 99,98 dolarów, płatne kartą kredytową.
Deinstalacja: Niemożliwa. Telefon lub tablet musi zostać przywrócony do ustawień fabrycznych.
Utrata danych użytkownika: Kopie zapasowe aplikacji są tracone.

<b>FakeDefend</b>
<br><br>
Odkryty w lipcu 2013 roku. Atakuje urządzenia z systemem operacyjnym Android. Ukrywa się pod płaszczem antywirusa, wymuszającego na użytkowniku dokonanie opłaty za zakup pełnej wersji programu. Po zakończeniu pozornego skanowania systemu program wyświetla na ekranie komunikat, że tylko jego pełna wersja może usunąć znalezione “infekcje”.
<br><br>
Wyrządzane szkody: Jeśli użytkownik zdecyduje się zapłacić okup, dane jego karty kredytowej zostają wysłane do serwera atakującego. Ponadto, niezależnie od tego, czy użytkownik zapłaci czy też nie, aplikacja wstrzymuje pewne procesy systemowe oraz procesy popularnych programów antywirusowych (nie możemy użyć innego antywirusa, żeby usunąć FakeDefend’a). Następnie FakeDefend usuwa pakiety znalezione na karcie SD telefonu, które mogą zostać użyte jako kopia zapasowa ROM systemu Android. Wreszcie, 6 godzin po instalacji złośliwego oprogramowania, ekran urządzenia zostaje na stałe zablokowany, co sprawia, że nie nadaje się ono do dalszego użytku.
<br>
<br>Korzystanie z urządzenia po infekcji: Bardzo ograniczone. Niemożliwe po upływie 6 godzin.
<br>Cena okupu: 99,98 dolarów, płatne kartą kredytową.
<br>Deinstalacja: Niemożliwa. Telefon lub tablet musi zostać przywrócony do ustawień fabrycznych.
<br>Utrata danych użytkownika: Kopie zapasowe aplikacji są tracone.

ShutterStock

Reklama

2 Cryptolocker

Odkryty w maju 2014 roku, działa pod płaszczykiem programu do pobierania plików wideo: BaDoink. Jakkolwiek robak nie usuwa żadnych danych użytkownika z urządzenia, co 5 sekund włącza ekran blokady, spersonalizowany w taki sposób, jakby użytkownik został namierzony przez jednostki specjalne policji z danego kraju (personalizacja odbywa się za pomocą geolokalizacji). Wyskakujący co chwila ekran blokady powoduje, że korzystanie z urządzenia po infekcji, łącznie z usunięciem Cryptolockera, jest bardzo utrudnione.

Korzystanie z urządzenia po infekcji: Znacznie utrudnione.

Cena okupu: 300 dolarów (opłata za pośrednictwem usługi MoneyPak). Deinstalacja: Restart telefonu w trybie awaryjnym i usunięcie aplikacji lub przywrócenie do ustawień fabrycznych.
Utrata danych użytkownika: Nie powoduje utraty danych.

<b>Cryptolocker</b>
<br><br>
Odkryty w maju 2014 roku, działa pod płaszczykiem programu do pobierania plików wideo: BaDoink. Jakkolwiek robak nie usuwa żadnych danych użytkownika z urządzenia, co 5 sekund włącza ekran blokady, spersonalizowany w taki sposób, jakby użytkownik został namierzony przez jednostki specjalne policji z danego kraju (personalizacja odbywa się za pomocą geolokalizacji). Wyskakujący co chwila ekran blokady powoduje, że korzystanie z urządzenia po infekcji, łącznie z usunięciem Cryptolockera, jest bardzo utrudnione.
<br>
<br>Korzystanie z urządzenia po infekcji: Znacznie utrudnione.
<br><br>Cena okupu: 300 dolarów (opłata za pośrednictwem usługi MoneyPak).
Deinstalacja: Restart telefonu w trybie awaryjnym i usunięcie aplikacji lub przywrócenie do ustawień fabrycznych.
<br>Utrata danych użytkownika: Nie powoduje utraty danych.

ShutterStock

3 Złośliwe oprogramowanie iCloud „Olega Plissa”

Odkryte w maju 2014 roku jako pierwsze oprogramowanie Ransomware stworzone z myślą o urządzeniach firmy Apple. W tym przypadku sprawcą ataków nie jest konkretna złośliwa aplikacja - wykorzystuje się do nich skompromitowane konta iCloud oraz techniki inżynierii społecznej. Uważa się, że atakujący posłużyli się funkcją „Znajdź mój iPhone, iPad i Mac” (ang. Find My iPhone, iPad and Mac) oraz hasłami do kont iCloud opublikowanymi w internecie w wyniku różnych wycieków. Atak jest jednak nieskuteczny, jeżeli na urządzeniu ustawiony jest kod blokady. Użytkownicy urządzeń bez takiej blokady będą zmuszeni zresetować je do ustawień fabrycznych i przywrócić kopię zapasową z iTunes.

Korzystanie z urządzenia po infekcji: Niemożliwe dla urządzeń bez kodu blokady.
Cena okupu: 100 dolarów lub euro, płatne za pośrednictwem usług Moneypack, Ukash, PaySafeCard lub PayPal.
Deinstalacja: Urządzenia bez kodu blokady muszą zostać przywrócone do ustawień fabrycznych.
Utrata danych użytkownika: Potencjalnie może uzyskać dostęp do kalendarza oraz innych ważnych danych użytkownika (np. kontaktów). Atakujący może również usunąć wszystkie dane z urządzenia.

<b>Złośliwe oprogramowanie iCloud „Olega Plissa”</b>
<br><br>
Odkryte w maju 2014 roku jako pierwsze oprogramowanie Ransomware stworzone z myślą o urządzeniach firmy Apple. W tym przypadku sprawcą ataków nie jest konkretna złośliwa aplikacja - wykorzystuje się do nich skompromitowane konta iCloud oraz techniki inżynierii społecznej. Uważa się, że atakujący posłużyli się funkcją „Znajdź mój iPhone, iPad i Mac” (ang. Find My iPhone, iPad and Mac) oraz hasłami do kont iCloud opublikowanymi w internecie w wyniku różnych wycieków. Atak jest jednak nieskuteczny, jeżeli na urządzeniu ustawiony jest kod blokady. Użytkownicy urządzeń bez takiej blokady będą zmuszeni zresetować je do ustawień fabrycznych i przywrócić kopię zapasową z iTunes.
<br>
<br>Korzystanie z urządzenia po infekcji: Niemożliwe dla urządzeń bez kodu blokady.
<br>Cena okupu: 100 dolarów lub euro, płatne za pośrednictwem usług Moneypack, Ukash, PaySafeCard lub PayPal.
<br>Deinstalacja: Urządzenia bez kodu blokady muszą zostać przywrócone do ustawień fabrycznych.
<br>Utrata danych użytkownika: Potencjalnie może uzyskać dostęp do kalendarza oraz innych ważnych danych użytkownika (np. kontaktów). Atakujący może również usunąć wszystkie dane z urządzenia.

ShutterStock

4 Simplocker:

Odkryty w czerwcu 2014 roku. Ukrywa się w zainfekowanych trojanem wersjach popularnych aplikacji, np. FlashPlayera. Jest to pierwszy mobilny Ransomware na Androida w pełnym znaczeniu tego słowa, ponieważ rzeczywiście szyfruje pliki na smartfonach i tabletach. Zainfekowane urządzenia zostają zablokowane, wyświetlając ekran ostrzegawczy, na którym pojawia się żądanie zapłaty za ich odblokowanie.

Wyrządzane szkody: Szyfruje pliki o popularnych rozszerzeniach .jpeg, .jpg, .png, .bmp, .gif, .pdf, .doc, .docx, .txt, .avi, .mkv, .3gp oraz .mp4, wykorzystując algorytm AES. Może połączyć się z siecią TOR, by po wpłacie okupu wyłączyć działanie malware za pośrednictwem serwera atakującego. Jeśli nawet Simplocker zostanie odinstalowany, zaszyfrowane pliki nadal będą wymagać bardzo kłopotliwej dla użytkownika deszyfracji. Inna wersja tego szkodnika wymusza na użytkowniku zgodę na przechwytywanie przychodzących wiadomości SMS. W tym przypadku złośliwe oprogramowanie może zostać wyłączone za pomocą wiadomości SMS zawierającej polecenia dezaktywacji.

Korzystanie z urządzenia po infekcji: Utrudnione.
Cena okupu: 100 rubli za pośrednictwem usługi Qiwi Visa Wallet.
Deinstalacja: Restart telefonu w trybie awaryjnym i usunięcie aplikacji lub przywrócenie do ustawień fabrycznych.
Utrata danych użytkownika: Pliki zaszyfrowane algorytmem AES.

$Simplocker: Odkryty w czerwcu 2014 roku. Ukrywa się w zainfekowanych trojanem wersjach popularnych aplikacji, np. FlashPlayera. Jest to pierwszy mobilny Ransomware na Androida w pełnym znaczeniu tego słowa, ponieważ rzeczywiście szyfruje pliki na smartfonach i tabletach. Zainfekowane urządzenia zostają zablokowane, wyświetlając ekran ostrzegawczy, na którym pojawia się żądanie zapłaty za ich odblokowanie. Wyrządzane szkody: Szyfruje pliki o popularnych rozszerzeniach .jpeg, .jpg, .png, .bmp, .gif, .pdf, .doc, .docx, .txt, .avi, .mkv, .3gp oraz .mp4, wykorzystując algorytm AES. Może połączyć się z siecią TOR, by po wpłacie okupu wyłączyć działanie malware za pośrednictwem serwera atakującego. Jeśli nawet Simplocker zostanie odinstalowany, zaszyfrowane pliki nadal będą wymagać bardzo kłopotliwej dla użytkownika deszyfracji. Inna wersja tego szkodnika wymusza na użytkowniku zgodę na przechwytywanie przychodzących wiadomości SMS. W tym przypadku złośliwe oprogramowanie może zostać wyłączone za pomocą wiadomości SMS zawierającej polecenia dezaktywacji. Korzystanie z urządzenia po infekcji: Utrudnione. Cena okupu: 100 rubli za pośrednictwem usługi Qiwi Visa Wallet. Deinstalacja: Restart telefonu w trybie awaryjnym i usunięcie aplikacji lub przywrócenie do ustawień fabrycznych. Utrata danych użytkownika: Pliki zaszyfrowane algorytmem AES.$

ShutterStock

5 Jak uchronić się przed złośliwym oprogramowaniem Ransomware na urządzenia mobilne?

1) Po pierwsze backup. Powinniśmy często wykonywać kopie zapasowe plików z naszych urządzeń mobilnych. Nawet gdy padniemy ofiarą ataku typu Ransomware, posiadając kopię zapasową będziemy mogli szybko przywrócić dane z zewnętrznego urządzenia po przywróceniu smartfonu lub tabletu do ustawień fabrycznych. Kopię zapasową tworzymy na dysku SD telefonu, a następnie przegrywamy jego zawartość np. na komputer, by uniknąć wymazywania kopii zapasowych z SD, którą potrafią przeprowadzić niektóre programy Ransomware;
2) Instaluj aplikacje wyłącznie z oficjalnych źródeł, czytaj opinie użytkowników przed instalacją. Prędzej czy później ofiary ataków poinformują w sieci, które aplikacje stanowią zagrożenie;
3) Zaufane oprogramowanie antywirusowe na urządzenia mobilne powinno pomóc uchronić się przed większością ataków;
4) Użytkownicy urządzeń marki Apple powinni jak najszybciej ustalić kod dostępu.