A Cerber üzenete két Android alkalmazásban is felbukkant

A malware-kutatók a Cerber fertőzés utáni üzenetét fedezték fel két Android alkalmazás forráskódjában. Az Accechiamoli és a ForzaFò nevű alkalmazások, amelyek a hírhedt README.hta fájlt tartalmazzák, letölthetők a Google Play Áruházból. Meglehetősen rossz hír lenne, ha a veszélyes malware fejlesztői terjeszkednének. Szerencsére nem erről van szó. Nem indult Android készülékeket célzó víruskampány, a Cerber továbbra is csak a Windows rendszert célozza. Az olasz Foggia Calcio fociklub rajongóinak tehát nem kell aggódniuk a ransomware-fertőzés miatt.

Az ESET biztonsági csapata mindkét alkalmazást átvizsgálta. Semmilyen veszélyforrást nem találtak az Android készülékekre nézve, csak a Cerberhez tartozó README.hta fájlt találták meg. Az ESET mobilbiztonsági szakértője, Lukas Stefank szerint azért kerülhetett a fájl az alkalmazásba, mert annak fejlesztője, Francesco Pio Recchia is a Cerber áldozatai közé tartozik. A támadás során a vírus minden titkosított fájlt tartalmazó mappában elhelyezi az üzenetet. Ha a fejlesztő nem gondoskodott a fájlok eltávolításáról, benne maradhatott az alkalmazás ikonmappájában. Egy másik feltételezés szerint az Accechiamoli és a ForzaFò alkalmazások ikonjának tervezője lehetett a Cerber áldozata. Az üzenet tehát véletlenül maradhatott a mappában. A fejlesztő pedig nem ellenőrizte a mappát, egyszerűen átmásolta. Az üzenetet így nem vette észre. Mindez azonban csak feltételezés, az igazság egyelőre ismeretlen.

Annyi biztos, hogy a HTA fájlok nem terjesztenek titkosító vírusokat. A README.hta nem kártékony, nem tartalmaz rosszindulatú kódot. A biztonsági programok azonban kártékonyként azonosítják, de csak azért, mert vírushoz tartozik – önmagában nem tehet kárt. Csak azokat az információkat tartalmazza, amelyeket a vírus áldozatainak a támadók szerint tudnia kell. Részletezi a titkosítást, valamint természetesen a fájlok visszaállításához követelt váltságdíjat is. Az áldozatoknak bitcoint kell küldeniük a Cerber speciális fizetőoldalán, amely csak Tor böngészővel érhető el. Ezt az alkalmat is meg szeretnénk ragadni arra, hogy emlékeztessük: nem szabad követnie a támadók utasításait. A váltságdíj kifizetése nem garantálja a fájlok visszaszerzését.

A szerzőről
Gabriel E. Hall
Gabriel E. Hall - Elkötelezett webkutató

Gabriel E. Hall elszánt malware-kutató, aki már közel egy évtizede az avirus.hu dolgozója.

Üzenet neki: Gabriel E. Hall
A vállalatról: Esolutions

Olvassa más nyelveken
Fájlok
Szoftverek
Összehasonlítás