image

Новая программа-вымогатель для мобильных устройств под управлением Android использует две необычные техники для нанесения ущерба владельцам устройств. Специалисты Symantec, обнаружившие программу, назвали её Android.Lockdroid.E. Она распространяется под видом мобильного порно-приложения «Porn ‘O’ Mania»

Приложение добивается от пользователя подтверждения выдачи ему прав администратора. Оно выводит подложное окно, изображающее из себя стандартное окно установки приложения. Это возможно благодаря использованию в качестве модального окна сообщения об ошибке (TYPE_SYSTEM_ERROR).

Окно установки располагается прямо поверх окна с запросом на получение админских прав. После установки приложения в окне появляется кнопка «Продолжить», расположенная ровно над кнопкой «Разрешить», дающей приложению полный доступ к устройству. Нажатие на «Продолжить» приводит к нажатию на «Разрешить».

После получения полных прав доступа приложение зашифровывает файлы, найденные в памяти, а также получает историю браузера и копирует список контактов. После этого на экран выводится сообщение с требованием заплатить выкуп. При этом приложение поражает своим коварством. Оно не только требует денег за дешифрацию файлов – в случае, если выкуп не будет получен, оно грозит отправить всем контактам владельца его историю браузера.

Трюк с выводом одного окна поверх другого возможен в системах старше, чем Android 5.0. Если ваше мобильное устройство работает под управлением новой системы, или же если вы устанавливаете приложения только из Google Play Store – вам ничего не угрожает. Правда, примерно 2/3 из всех Android-устройств всё ещё работают под управлением более старых систем, и подвержены подобным атакам.

Комментарии (23)


  1. iSnail
    29.01.2016 09:51
    +1

    «Трюк с выводом одного окна поверх другого возможен в системах старше, чем Android 5.0»,
    но при этом дальше написано
    «Если ваше мобильное устройство работает под управлением новой системы, <...> вам ничего не угрожает»

    Видимо, я чего-то не понимаю… Меня тема не кассается, но всё же интересно, какой андроид уязвим?


    1. kir_rik
      29.01.2016 10:01

      «Старше», видимо, о возрасте. Версии, стало быть, младше. Например 4.4 уязвим, а 5.0 и 5.1 — нет.


    1. feodead
      29.01.2016 10:01

      Скорее всего, автор под «старше» имел в виду «выпущена раньше», то есть, «старше по возрасту».


    1. Eeegrek
      29.01.2016 10:06
      -2

      С версией выше 5.0. Ваш КЭП.


    1. themasterspirit
      29.01.2016 23:40

      «Правда, примерно 2/3 из всех Android-устройств всё ещё работают под управлением более старых систем, и подвержены подобным атакам.»
      Предполагаю, что:
      «Трюк с выводом одного окна поверх другого НЕ возможен в системах старше, чем Android 5.0»


  1. unlor
    29.01.2016 09:59
    -1

    возможен в системах старше, чем Android 5.0
    Возможно, «младше»? Иначе не согласуется с последующим предложением.
    P.S. И сколько здесь будет одинаковых комментариев?


    1. K0styan
      29.01.2016 11:07

      Уязвимы системы, старшие по возрасту. Номер версии у них, соотвественно, ниже 5.0.


  1. Solonix
    29.01.2016 10:00

    Что то я не понял подвержены версии больше или меньше 5.0. Как то не понятно Трюк с выводом одного окна поверх другого возможен в системах старше, чем Android 5.0при этомПравда, примерно 2/3 из всех Android-устройств всё ещё работают под управлением более старых систем, и подвержены подобным атакам.


    1. AcidumIrae
      29.01.2016 11:31

      Скорее всего не подвержены — на моем Android TV 5.1 нет админских прав даже у меня, только USB-host порты и не работает ADB по wi-fi. Я был бы только рад такому зловреду, если б он поделился со мной правами, но нет :(


  1. boingo-00
    29.01.2016 10:00

    1) Смотрите порно только на проверенных сайтах
    2) Думайте, что ставите
    3) Да и хрен с ним, мне нечего скрывать, для остального есть приватный режим


    1. Raegdan
      29.01.2016 10:16
      +1

      Вообще «rule of thumb» можно сформулировать так: если одинаковый функционал можно получить веб-интерфейсом или программой — к чёрту программу. Это верно как для десктопных, так и для мобильных ОС.


    1. igninus
      29.01.2016 11:07
      +1

      1) Посоветуете что-нибудь из проверенных сайтов?


      1. boingo-00
        29.01.2016 11:15

        Первое, что пришло в голову — PornHub


      1. Raegdan
        29.01.2016 13:17

        18+
        pornhub.com
        redtube.com
        tube8.com
        xhamster.com
        youporn.com
        xtube.com
        pornmd.com

        трекеры, куда же без них: pornolab.net, пиратбей

        видео в контакте — тоже полным-полно прона, однако выдача дико загажена нерелевантным мусором от школоты, которая таким образом пытается делать своим роликам SEO.


        1. JohnTR
          29.01.2016 19:55

          Наверное, так будет лучше:
          https://habrahabr.ru/post/193638/#comment_6725564


          1. igninus
            30.01.2016 10:10

            Этот список можно составить просто поискав в гугле и записав результаты, без сортировки по качеству. Скорее всего большинство этих сайтов как раз и содержат вирусы.


  1. JohnTR
    29.01.2016 10:00

    У РО-аккаунтов нет возможности писать в Личку — простите, обращусь Комментарием.

    "… возможен в системах старше, чем Android 5.0" — вначале подумалось, что «старше»=«версией выше».
    Потому, читая дальше «примерно 2/3 из всех Android-устройств всё ещё работают под управлением более старых систем, и подвержены подобным атакам» — сломался мозг.
    Может, стоить перефразировать: "«возможен в системах с версией Android ниже, чем Android 5.0»?


  1. Eeegrek
    29.01.2016 10:01

    В браузере хром есть режим «инкогнито». Использование этого режима при посещении «нехороших» сайтов снижает риск вреда от подобного зловреда до нуля. Пусть шлет, мне не жалко!


    1. ALHIMIK1992
      29.01.2016 11:36

      Такой режим есть далеко не только в хроме.


  1. valdem
    29.01.2016 10:01

    Старше — значит номер версии меньше. То-есть было выпущено раньше.


  1. webserfer
    29.01.2016 12:05

    Забавно, что в SuperSU кликджекинг пофиксили еще во времена Jelly Bean, а в системе этот баг исправили вот только в 5.0. Что-то тут не так.


  1. Dire01
    29.01.2016 15:56
    -1

    Ситуация подобна банерам — блокировщикам, считаю, что те люди, которые устанавливают подобные порно — приложения, вполне себе заслуживают такое наказания.
    Может хоть немного поумнеют и начнут думать.


    1. webserfer
      31.01.2016 16:10

      Наивно думать, что это не появится и в других, более популярных приложениях. Точнее, в их вредоносных копиях.