Ataki ransomware na telefony z Androidem

Szkodliwe oprogramowanie typu ransomware, a więc takie, które szyfruje dane użytkownika, a następnie żąda okupu w zamian za możliwość odzyskania do nich dostępu, jest bardzo opłacalne dla przestępców. Wiele ofiar decyduje się zapłacić, byle tylko odzyskać swoje dane. Nic więc dziwnego, że doczekaliśmy się także pierwszych ataków na urządzenia mobilne. Firma ESET poinformowała właśnie o drugim już wirusie atakującym telefony z Androidem, a pierwszym, który blokuje dane użytkownika za pomocą kodu PIN, co sprawia, że Lockerpin (bo tak właśnie nazywa się ten wirus) jest bardzo niebezpieczny.

Adult Player

Adult Player, czyli pierwszy wirus atakujący Androidy, udaje program do odtwarzania filmów pornograficznych (pobierany jest na forach i torrentach, nie pojawił się bowiem w oficjalnych sklepach z aplikacjami) i jest bardzo perfidny - zanim telefon zostanie zablokowany, aplikacja rzeczywiście wyświetla obiecywane treści, ale podczas ich odtwarzania robi użytkownikowi zdjęcia przednią kamerą telefonu. Dzięki temu szantaż jest jeszcze skuteczniejszy - poza utratą danych, przestępcy grożą również opublikowaniem kompromitujących materiałów. Sam wirus jest jednak stosunkowo łatwy do zneutralizowania i to bez większej szkody dla danych użytkownika. Wystarczy włączyć w telefonie tryb awaryjny, a następnie odebrać aplikacji uprawnienia administracyjne i usunąć ją z telefonu.

Lockerpin

Lockerpin rozprzestrzenia się podobnym kanałem - jako program do odtwarzania filmów dla dorosłych, dostępny poza Google Play, jednak jego działanie jest znacznie bardziej niebezpieczne. W swoim mechanizmie wykorzystuje bowiem systemową blokadę ekranu. Kiedy tylko aplikacja uzyska uprawnienia administracyjne w systemie, ustawia lub zmienia obecny kod PIN, blokując użytkownikowi dostęp do telefonu. Dodatkowo pojawia się także fałszywa informacja, że telefon został zablokowany przez FBI w związku z wykryciem zakazanych materiałów pornograficznych. 

Co zrobić jeśli Lockerpin zablokował telefon? Rozwiązania są dwa. Jeśli jesteś bardziej zaawansowanym użytkownikiem i zanim padłeś ofiarą wirusa, zrootowałeś swojego Androida, będziesz mógł usunąć aplikację bez utarty danych. W tym celu należy za pomocą Android Debug Bridge usunąć z systemu wszystkie pliki należące do Lockerpina.

Rootowanie Androida

Root to nic innego, jak katalog główny, zawierający wszystkie pliki niezbędne do działania telefonu zapisane na dwóch partycjach: SYSTEM i DATA (pierwsza zawiera wszystkie pliki systemowe Androida, druga zawiera pliki aplikacji i ich ustawienia; to właśnie partycja DATA jest formatowana podczas przywracania ustawień fabrycznych). Domyślnie każdy użytkownik telefonu z Androidem posiada ograniczone uprawnienia systemowe, które nie dają możliwości zapisu na partycjach ROOT, a rootowanie polega właśnie na uzyskaniu takich uprawnień. Zrootowany Android daje użytkownikowi wszystkie uprawnienia administracyjne, umożliwiające także usunięcie plików szkodliwego oprogramowania bezpośrednio z katalogu głównego telefonu. Przebieg procesu rootowania zależy od modelu telefonu, a dokładne instrukcje można znaleźć w Internecie.

UWAGA: proces rootowania powoduje utratę wszystkich danych zapisanych w pamięci telefonu (rootowanie przeprowadzone już po infekcji wirusem jest więc bezcelowe), może ponadto spowodować utratę gwarancji producenta, a źle przeprowadzone - także doprowadzić do poważnego uszkodzenia systemu.

Jeśli jednak przed atakiem wirusa Twój Android nie został zrootowany, pozostaje Ci jedynie przywrócenie ustawień fabrycznych w Twoim telefonie. Dzięki temu odzyskasz dostęp do telefonu, jednak stracisz zapisane na nim dane. Oczywiście dotyczy to jedynie danych zapisanych w wewnętrznej pamięci telefonu, przywracanie ustawień fabrycznych nie usuwa bowiem danych z zewnętrznej pamięci SD i karty SIM. Dobra wiadomość jest taka, że nie ma doniesień o tym, żeby opisane tutaj wirusy blokowały dostęp do pamięci zewnętrznej i karty SIM. 

Jak się zabezpieczyć przed atakiem?

1. Przede wszystkim nie pobieraj aplikacji z niesprawdzonych źródeł. Jeśli chcesz pobrać aplikację, wybierz zaufane strony, takie jak Google Play czy Amazon Appstore. Pamiętaj jednak, że nawet w takich miejscach zdarzają się ataki, więc uważnie przyjrzyj się każdej aplikacji i sprawdź czy jest bezpieczna (choćby poprzez sprawdzenie opinii w Internecie).
2. Zrób kopię zapasową - większość telefonów umożliwia stworzenie kopii zapasowej wszystkich danych i zapisanie jej na zewnętrznej pamięci telefonu lub online. Dodatkowo możesz przechowywać swoje zdjęcia w chmurze - masz do dyspozycji wiele darmowych i płatnych aplikacji, np. Google Drive. Za pomocą konta Google możesz także wykonać kopię zapasową wszystkich najważniejszych danych, takich jak lista kontaktów, zakładki, kalendarze, czy nawet zainstalowane aplikacje. Tutaj przeczytasz jak to zrobić.

Czy warto płacić okup?

W przypadku ransomware nigdy nie mamy pewności, czy po zapłaceniu okupu, odzyskamy dostęp do swoich danych. Tak naprawdę w takiej sytuacji możemy liczyć jedynie na uczciwość przestępców, co w oczywisty sposób jest ryzykowne i może doprowadzić do tego, że poza danymi stracimy również pieniądze. Dodatkowym argumentem przeciwko płaceniu okupu, jest fakt, że środki te mogą zostać wykorzystane do dalszego rozwoju niebezpiecznego oprogramowania, przez co możemy się pośrednio przyczynić się do kolejnych, bardziej niebezpiecznych ataków.