Вирус вынуждал пользователей Android покупать подарочные карты iTunes

Специалист компании Blue Coat Labs Эндрю Брандт (Andrew Brandt) обнаружил новую вредоносную программу, которая заражает устройства, работающие под управлением старых версий Android (с Android 4.0 до Android 4.4). Вредоносный код под названием Cyber.Police загружается с веб-страниц, которые посещает пользователь.

Враждебное устройству приложение устанавливается самостоятельно, не взаимодействуя с владельцем и не отображая диалоговое окно «разрешение на запуск приложения», появление которого, как правило, предшествует установке Android приложения.

Хакерам удалось создать подобный вирус благодаря использованию наработок Hacking Team, которые стали доступны после взлома компании.  Аналитик Джошуа Дрейк (Joshua Drake) из компании Zimperium подтвердил, что эксплоит Towelroot пользуется теми самыми кодами, которые были украдены у Hacking Team. Специалист также отметил, что вредоносная программа содержит код Futex (тот же Towelroot), который впервые был описан в конце 2014 года.

Заражение устройства происходит следующим образом: после посещения веб-страницы на экране гаджета появляются всплывающие окна, закрыть которые у пользователя не получается. Пользователю сообщают, что его устройство "заблокировано со стороны властей", а разблокировка возможна лишь одним способом: оплата штрафа. Интересно, что данная оплата должна обязательно происходить при помощи подарочных сертификатов iTunes - уловка, позволяющая хакерам не указывать личный банковский счет.  Несмотря на то, что представители Apple отслеживают подарочные карты,  они уже много лет используются злоумышленниками в качестве своеобразной валюты.

С точки зрения специалиста механизм заражения таков: вредоносный Javascript внедряется в рекламу на ресурсе. Коды, украденные у Hacking Team атакуют уязвимость в библиотеке libxslt, и благодаря этому на устройство загружается Linux ELF бинарник module.so. Данный ELF-пейлоад распознается только двумя поставщиками антивирусных решений. Именно он создает root-привилегию, которая позволяет установить вредоносное приложение, содержащее троян Cyber.Police.

Опасность данной вредоносной программы состоит еще и в том, что некоторые устройства, работающие на платформе Android, могут подвергаться опасности долгие годы, пока не получат новую версию программного обеспечения. Имеются в виду, в основном, так называемые медиаплееры - недорогие воспроизводящие гаджеты, которые долго могут работать в обычном режиме, не получая обновлений, однако их использование влечет за собой серьезную опасность заражения девайса.

Тем не менее, "победить" вредоносную программу Cyber.Police несложно - достаточно просто сбросить настройки до заводских, предварительно подключив пострадавшее устройство к компьютеру, чтобы сохранить все необходимые данные.