Il malware “Cyber Police” è un tipo di ransomware che prende di mira dispositivi Android. Questo malware blocca l’accesso al dispositivo mostrando una schermata intimidatoria che simula un avviso delle forze dell’ordine, accusando l’utente di presunte attività illegali e richiedendo il pagamento di una multa per sbloccare il dispositivo. Questa tecnica è nota come “scareware”.
Una variante di questo ransomware si maschera da applicazione chiamata “Adult Player”. Una volta installata, l’app richiede interazione da parte dell’utente per attivarsi. Dopo l’installazione, il ransomware visualizza una schermata con un conto alla rovescia, minacciando l’utente di conseguenze legali se non paga la somma richiesta entro il tempo indicato.
Per proteggersi da questo tipo di minacce, è consigliabile:
- Scaricare applicazioni solo da fonti ufficiali come il Google Play Store.
- Evitare di abilitare l’installazione da “fonti sconosciute” nelle impostazioni del dispositivo.
- Mantenere il dispositivo aggiornato con le ultime patch di sicurezza.
- Utilizzare un software antivirus affidabile per dispositivi mobili.
Se il dispositivo è già stato infettato, potrebbe essere necessario avviare il dispositivo in modalità provvisoria e rimuovere manualmente l’applicazione malevola o, in casi più gravi, ripristinare le impostazioni di fabbrica del dispositivo.
È importante notare che questo ransomware è stato particolarmente attivo intorno al 2016. Tuttavia, nuove varianti potrebbero emergere, quindi è fondamentale rimanere vigili e adottare misure preventive per proteggere il proprio dispositivo.
Questo ransomware mira a criptare tutti i file del dispositivo della vittima con una chiave segreta impossibile da reperire, se non pagando) sarebbe in agguato attraverso dei semplici banner pubblicitari.
Il nome del malware in questione è Cyber.Police o Dogspectus, e riesce ad innestarsi silenzionamento nel sistema operativo Android chiedendo un pagamento per sbloccare il sistema; da quello che ne sappiamo, in teoria potrebbe essere possibile recuperare i file sul dispositivo, in alcune circostanze illustrate nell’articolo originale (vedi fonti a fine articolo).
Per quello che ne sappiamo la vulnerabilità sfruttata riguarda le versioni di Android dalla 4.0 alla 4.3, specificatamente in una falla nota come Towelroot che consente la privilege escalation (l’accesso come root da parte di utenti esterni non autorizzati). Secondo quanto riportato dai reporto il virus potrebbe sfruttare in maniera leggermente diversa altre falle di Android 4.4, che sarebbero riconducibili al modulo
libxslt
già oggetti di analisi da parte di Hacking Team. A differenza di altri tipi di attacchi che richiederebbero un intervento o l’interazione diretta da parte dell’utente (tipicamente un click su un link), apparentemente il ransomware si attiva silenziosamente ad esempio visitando alcune tipologie di siti per adulti, mediante uno script innestato in una pubblicità . Non appena è trascorso qualche tempo dall’inizio dell’infezione, il dispositivo Android rimane bloccato e può essere piuttosto complicato sbloccarlo o resettarlo.
Non sempre i dispositivi con Android vengono aggiornati in tempo reale, e molti rimangono con vecchie versioni “scoperte” sotto questo punto di vista: motivo per cui è importante fare molta attenzione a quello che facciamo con il nostro dispositivo, specie se lo utilizziamo per manipolare o leggere dati importanti ed in copia unica.
In questo caso l’unica protezione sempre essere quella di sempre:
- farsi un backup a parte dei dati importanti del tablet o dello smartphone;
- utilizzare se possibile ad blocker;
- aggiornare sempre Android all’ultima versione disponibile.
Photo by ssoosay
