Itt a PIN-kód, hol a PIN-kód?

2015. szeptember 14. 18:21 - Csizmazia Darab István [Rambo]

Új fejezet kezdődik az androidos zsaroló programok eddig sem eseménytelen történetében. A LockerPIN nagyrészt Észak-Amerikában szedett áldozatokat, működési elve, hogy megváltoztatja a készülékek PIN kódját, lezárja a készülék képernyőjét és 500 dollár váltságdíjat kér az áldozatoktól. Az ilyen trójai kártevők ellen a megelőzés a legjobb stratégia.

Az ESET kutatói és biztonsági szakértői folyamatosan figyelik és elemzik az IT Biztonság trendjeit és újfajta kártevőit. Az elmúlt időszak egyik érdekes eseménye a LockerPIN néven ismert új, agresszív Android zsarolóvírus vizsgálata és részletes elemzése volt.

A LockerPin megváltoztatja a készülékek nyitó PIN kódját, lezárja a készülék képernyőjét és 500 dollár -  cirka 140 ezer forint - váltságdíjat kér az áldozatoktól.

Az ESET LiveGrid rendszer statisztikái alapján a legtöbb megfertőzött Androidos készülék - az összes fertőzött eszköz 77%-a - az Egyesült Államokban található, amely arra a törekvésre hívja fel a figyelmet, hogy az Androidos kártevők készítői láthatóan kezdenek áttérni az orosz és ukrán felhasználókról az amerikaiakra, azok ugyanis jelentősen nagyobb profittal kecsegtetnek.

Ugyancsak izgalmas momentum, hogy a kártevő megpróbálja hatástalanítani a telefonra telepített egyes vírusirtókat, szerencsére ez az ESET Mobile Security esetén a program önvédelmi mechanizmusa miatt viszont nem sikerül neki.

A LockerPIN ellenőrizetlen külső piactereken, warez fórumokon, illetve torrenten keresztül terjed, szerencsére a Google Play áruházban nincs jelen.

A sikeres telepítés után a trójai a felhasználó megtévesztésével próbálja meg  megszerezni az eszköz adminisztrátori jogait a rendszerüzenetek felülírásával, és saját ablakával javítási frissítés telepítésének ("Update patch installation") álcázza magát.

Ha a készülék root-olt, vagy valamilyen MDM megoldást használtak rajta, akkor ezek segítségével lehetséges a PIN lezárás megszüntetése.

Ezek hiányában azonban jelenleg nem lehet visszaállítani a PIN kódot a korábban fertőzött készüléken, még akkor sem, ha magát a trójai programot sikerült eltávolítani egy védelemmel nem rendelkező nem rootolt eszközön.

Ekkor a helyzeten sajnos egyelőre csak a gyári állapotra való visszaállítás segíthet, ez viszont komoly adatvesztéssel jár.

Emellett további problémát okozhat, hogy ha a felhasználó esetleg a fizetés mellett döntene, a támadók akkor sem állítják vissza a készülék eredeti állapotát, mivel a PIN kódot véletlenszerűen állítják át. Az ESET Mobile Security Android/Lockerpin.A néven ismeri fel és blokkolja a kártevőt.

2 komment

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr517788006

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Garin 2015.09.15. 16:26:05

Aha. Kár, hogy a megelőzésről egy büdös mukkot nem írt a szerző. Helyette csak olyanokat, amiket a felhasználók 99,99%-a nem ért, csak a "beavatottak". Ilyeneket, hogy:

"Ha a készülék root-olt, vagy valamilyen MDM megoldást használtak rajta, akkor ezek segítségével lehetséges a PIN lezárás megszüntetése."

A mezei user számára az írásból mindössze annyi hasznosítható, hogy nagy a gebasz, de sebaj, legközelebb iOS vagy Windows-os telót vesz. :-(

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2015.09.15. 16:38:18

Szia Garin!

Üdv a blogon, Isten hozott :-) Mezei userek bátran kérdhezhetnek, és én szívesen válaszolok.

Ha valaki futtat antivírus programot az androidos telefonján, akkor az észleli és blokkolja. Ez egyébként amiatt is hasznos, mert sok alsókategóriás okostelefon, és a Noname-ek soha nem kapnak szoftverfrissítést, így a veszélyek ellen (pl. StageFright) egyedül ez védhet meg.

Az android rootolásról itt olvashatsz részletesen, de a lényeg ez: "Alapesetben a telefonunk Android operációs rendszerén korlátozott felhasználók vagyunk! A rootolás nem más, minthogy rendszergazda jogokkal rendelkező felhasználót csinálunk magunkból."
netpedia.hu/android-rootolas
pcworld.hu/mobil/mi-fan-terem-a-rootolas-es-a-rom.html

Az MDM pedig "magyarul" :-) Mobil Device Management-et jelent, vagyis általában a munkahelyeken a rendszergazda képes távolról kezelni, oda anyagokat feltölteni, vagy lopás esetén letörölni, resetelni az eszközt.

Röviden tehát: ha valakinek van vírusirtó a telefonján, akkor az megvédi. Ha nincs és nincs rootolva (ezt egyébként a biztonsági cégek nem javasolják) és nem egy vállalati eszközparkban menedzselt készülékről van szó, akkor csak a gyári resettel lehet megszabadulni tőle. Ha valakinek van Gmailes címjegyzék szinronizációja, és a fotóinak felhős mentése, akkor minimalizálhatja az adatvesztését.

Remélem segítettem,
további szép napot,