Ruská záškodnícka skupina Lucy Gang rozšírila svoj biznis Malvér ako služba na poskytovanie šifrovania ako dodatočnej služby k ransomvéru. Táto skupina sa prvýkrát preslávila v roku 2018 so službou Black Rose Lucy, ponúkajúc botnet a službu zaslania malvéru na zariadenia s Androidom.
Malvér Lucy so šifrovaním a výkupným
Novou možnosťou je pridať šifrovanie súborov k malvéru žiadajúcemu výkupné vo výške 500 dolárov. V zariadení sa zobrazí správa, ktorá sa tvári, že je od FBI a obviňuje napadnutého zo sťahovania obsahu pre dospelých. Podstatou tejto správy je vystrašenie obete, aby poslúchla útočníka. Je to jasný prípad vydierania, postavenom na strachu a následkov z návštev stránok pre dospelých a sťahovania takého obsahu.
Aby sa efekt strachu znásobil, správa spomína, že fotka tváre obete bola nahraná na servery FBI, spolu s údajmi o polohe. Útočníci žiadajú uskutočniť platbu do troch dní od prijatia správy, inak sa výška strojnásobí.
Aby to vyzeralo dôveryhodnejšie, útočníci nežiadajú platbu v kryptomenách, ako je to obvyklé. Miesto toho žiadajú informácie o kreditnej karte obete. Podľa výskumníkov z Check Point, ktorí objavili malvér Lucy v septembri 2018, bolo rozposlaných už viac než 80 vzoriek tohto malvéru cez sociálne siete.
Obete z krajín bývalého Sovietskeho bloku
Aviran Hazum, riaditeľ výskumu v Check Point, povedal pre Bleeping Computer, že súčasná vzorka malvéru sa zameriava len na obete z krajín bývalého Sovietskeho bloku. Toto obmedzenie sa vynucuje pri spustení malvéru kontrolou kódu krajiny zariadenia. Použitím dialógového okna malvér Lucy oklame obeť, aby vírusu udelila povolenie funkcie uľahčenia prístupu. Funkciu uľahčenia prístupu môžete poznať, ako funkciu, ktorá slúži osobám so zrakovým či sluchovým obmedzením.
Upozornenie vyzýva používateľa, aby povolil Optimalizáciu streamovania videa, ktorá sa tvári, že umožňuje prehrávať video na zariadení. Ak to používateľ povolí, malvér získa oprávnenie využívať funkciu uľahčenia prístupu.
Zašifruj, dešifruj a vymaž
Keď ide o šifrovanie, Lucy sa najprv posnaží získať zoznam priečinkov v zariadení. V prípade zlyhania hľadá priečinok “/storage”. Ak zlyhá aj to, hľadá priečinok “/sdcard”. V ďalšej fáze malvér začne šifrovať súbory v zvolených úložiskách a overí úspešnosť operácie po dokončení. Operácia si nevyberá súbory, zašifruje všetky, u ktorých je to možné.
Zaujímavosťou je aj to, že počas šifrovania sa objaví falošná stopa. Falošný kľúč je vygenerovaný algoritmom AES s kódom 0x100. Toto môže byť trik od tvorcu alebo len chyba v kóde. Avšak skutočný šifrovací kľúč sa nachádza v prvom odstavci “SecretKeySpec” v reťazci kódu, ktorý nájdete v SharedPreferences.
Využíva ich funkcia zodpovedná za spracovanie súborov spolu so zvoleným priečinkom a boolean premennou, ktorá rozhoduje o šifrovaní alebo dešifrovaní súborov. Analýza od Check Point hovorí o tom, že malvér zasiela informácie po dešifrovaní, aby informoval, že bolo dokončené a potom spustí príkaz na odstránenie malvéru. Malvér Lucy dokáže vykonávať hovory, odoslať zoznam nainštalovaných aplikácií, vymazať šifrovacie kľúče alebo na diaľku spustiť príkazový riadok.
Nakupuješ? Vyskúšaj toto
Hľadáte smartfón? Pozrite si nášho Nákupného poradcu. Nájdete v ňom výbery tých najlepších smartfónov v cenovej kategórii do 100, 200, 300 alebo 500 €.
