Let's read - SLocker: Source Code einer Android Ransomware Reverse Engineered
Dateiverschlüsselnde Ransomware-Anwendungen, die auf Android-Geräte abzielen, werden immer raffinierter. Ein neues solches Programm nutzt Clickjacking-Techniken, um Benutzer dazu zu bringen, ihm Administratorrechte zu gewähren.
Clickjacking ist eine Methode, bei der Angreifer die Benutzerklicks manipulieren und unerlaubte Aktionen auslösen können. Es wird hauptsächlich bei webbasierten Angriffen eingesetzt, bei denen verschiedene Technologien das Erstellen unsichtbarer Schaltflächen und deren Positionierung auf scheinbar harmlosen Seitenelementen ermöglichen.
Aufgrund des restriktiven Systems für die Anwendungsberechtigungen in Android waren Ransomware-Apps, die auf das Betriebssystem abzielten, in der Vergangenheit weniger umfangreich effektiver als unter Windows. Zum Beispiel haben viele der frühen Android-Ransomware-Bedrohungen nur ein hartnäckiges Fenster auf dem Bildschirm mit einer Warnung angezeigt, die Benutzer dazu bringen soll, fiktive Bußgelder zu zahlen. Die meisten von ihnen stellten sich als Strafverfolgungsbehörden aus und behaupteten, dass die Geräte gesperrt waren, weil illegale Inhalte auf ihnen gefunden wurden.
Im Laufe der Zeit erschienen aggressivere Varianten, die ebenfalls verschlüsselt waren Dateien auf der Speicherpartition und waren viel schwieriger zu deinstallieren. Damit sie jedoch wie vorgesehen funktionieren, benötigen diese Varianten den Zugriff "Geräteadministrator".
Die Aktivierung dieser Funktion erfordert eine Bestätigung des Gerätebesitzers durch einen speziellen Dialog "Geräteadministrator aktivieren", der nach der Installation einer App angezeigt wird. Um die Zustimmung der Benutzer zu erhalten, verlassen sich die meisten Ransomware-Apps, die sich normalerweise als legitime Apps ausgeben, auf Social Engineering, indem sie zum Beispiel behaupten, dass der höhere Zugriff für eine der von ihnen behaupteten Funktionen benötigt wird Symantec, Ransomware-Entwickler haben es jetzt auf das nächste Level gebracht. Eine neue Bedrohung namens Android.Lockdroid.E missbraucht die verschiedenen Arten von Fenstern, die Android-Anwendungen auslösen können, sagten sie in einem Blog-Post Mittwoch.
Einmal installiert, die Lockdroid.E Ransomware löst den Geräte-Administrator Aktivierungsdialog, aber auch angezeigt ein TYPE_SYSTEM_ERROR-Fenster mit einer Nachricht, die behauptet, dass eine zusätzliche Komponente entpackt wird. Android zeigt diesen speziellen Fenstertyp über allen anderen Geräten an und deckt somit den Geräteadministrator-Dialog ab.
Nach einigen Sekunden zeigt die App ein weiteres Fenster an, das TYPE_SYSTEM_OVERLAY verwendet und auch den Geräteadministrator-Dialog abdeckt. Dieses zweite Fenster enthält die Meldung "Die Installation ist abgeschlossen" und eine Schaltfläche mit dem Namen "Weiter".
Die Schaltfläche "Fortfahren" ist tatsächlich falsch, da TYPE_SYSTEM_OVERLAY-Fenster nicht für die Eingabe von Benutzeroberflächen wie Taps ausgelegt sind. Es befindet sich jedoch perfekt über dem "Bestätigen" -Button des Aktivierungsdialogfelds für verborgene Geräteadministratoren.
Wenn Benutzer auf "Weiter" tippen, wird die Aktion tatsächlich in das Fenster des Geräteadministrators darunter übertragen Schaltfläche "Bestätigen".
Ab Android 5.0 (Lollipop) werden die beiden Dialogtypen, die von diesem Ransomware-Programm missbraucht werden, nicht mehr in den Systemberechtigungsdialogen angezeigt, wie dies für den Geräteadministrator der Fall ist. Die schlechte Nachricht ist jedoch, dass nach den neuesten Statistiken von Google Play auf zwei Dritteln der Android-Geräte immer noch ältere Versionen als 5.0 laufen.
"Die schädliche App wurde bei Google Play nicht gefunden und kann von einer Drittanbieter-App heruntergeladen werden Shops, Foren oder Torrent-Sites ", sagten die Symantec-Forscher. "Nutzer, die Google Play installiert haben, sind durch Verify Apps auch dann von dieser App geschützt, wenn sie außerhalb von Google Play heruntergeladen werden. Symantec empfiehlt Nutzern, nur Apps aus vertrauenswürdigen App Stores herunterzuladen."
HPE-Server erhalten neue Namen, um Benutzern zu helfen, herauszufinden, wofür sie verwendet werden können Wenn Sie Server von Hewlett Packard Enterprise kaufen, lassen Sie sich durch eine neue Benennungskonvention nicht aus dem Gleichgewicht bringen.
Wenn Sie Server von Hewlett Packard Enterprise kaufen, lassen Sie sich nicht von einer neuen Namenskonvention abschrecken.
So überprüfen Sie, welches Mobilfunknetz ein iPhone verwendet (oder verwendet)
So überprüfen Sie, welches Mobilfunknetz ein iPhone verwendet (oder verwendet)
