Вирусы. Теперь и на телевизорах

Параллельно с переходом производителей смарт-телевизоров на Андроид, происходит и перенос проблем этой платформы на смарт-телевизоры. Телевизор программиста Darren Cauthon был заражен вирусом-вымогателем. Судя по твиттеру Даррена это вирус из семейства  Cyber.Police (также известный как FLocker, Frantic Locker и Dogspectus, он выводит на экран уведомление в стиле письма от Министерства юстиции и ФБР).

Этот вымогатель поражает устаревшие андроид-системы, к которым уже не выходят патчи. Вымогатель блокирует устройство и требует оплатить штраф за посещение порносайтов (или что-то подобное), данные при этом не шифруются. Видимо, устаревшая и урезанная версия андроид или чего-то другого линуксподобного, используемая в смарт-телевизорах, оказалась уязвима к этому вирусу.

Более подробно механизм работы таких вирусов-блокировщиков описан в конце поста, после видео.

Вот с таким вирусом-вымогателем, судя по скриншоту, столкнулись и родственники Даррена. Правда с его слов, речь шла о попытке установить какое то приложение для просмотра фильмов. Взято было оно из официального магазина или с стороннего сайта  и как оно называется не указывается. В отличие от своих предшественников данный вымогатель уже просит 500 долларов, а не 200.

Даррен попытался сбросить телевизор к заводским установкам, но найденные в Интернете рецепты не помогли. Тогда программист обратился к компании LG, где ему посоветовали обратиться в сервисный центр LG. Там ему бы сбросили его телевизор к заводским настройкам за 340 долларов. После такого ответа Даррен и опубликовал свой возмущенный твит.

После того, как этот случай получил огласку LG решила пойти навстречу пользователю и дало ему инструкции по сбросу телевизора. Чтобы помочь другим пользователям, Даррен опубликовали видеоинструкцию в Youtube (видео ниже).

Как можно понять из видео (отметка 4:55) надо на панели выключенного(!) телевизора нажать сперва клавишу Setting и, не отпуская её, клавишу Канал вниз (CH-). После этого надо сперва убрать палец с клавиши Setting, потом с клавиши CH-. после этого пользователь попадает в меню восстановления. Надо использовать клавиши громкости, чтобы выбрать пункт wipe data и выбрать YES

Вот как механизм действия этих вирусов описывается на сайте Threatpost

«В итоге мы имеем полностью работоспособную операционную систему, которая больше не получает обновлений, — констатирует Брандт. — Сам факт ее использования уже грозит заражением. Установка чего-либо без участия пользователя до тех пор, пока не станет слишком поздно, — это весьма тревожный тренд в развитии Android-угроз». Исследователь рассказал Threatpost, что новый вымогатель использует трехступенчатую схему заражения. Вначале отрабатывает эксплойт для lbxslt, внедренный в рекламные баннеры, которые пока встречаются лишь на порносайтах…. На втором этапе атаки на скомпрометированное устройство устанавливается Towelroot — утилита для джейлбрейка, некогда весьма популярная у неискушенных пользователей. По свидетельству Кханг Нгуена (Khang Nguyen) из Duo Security, Towelroot позволяла за один клик получить root-доступ к Samsung Galaxy и другим смартфонам, использующим Android 4.4.2. В данном случае этот эксплойт, по словам Брандта, выполняет две задачи. Прежде всего он блокирует окно разрешений Android, всплывающее при установке программ с Google Play. «Все инсталляции происходят тихо и в фоновом режиме», — подтверждает эксперт. Пользуясь неразличимостью, злоумышленники устанавливают на скомпрометированное устройство вымогателя, именуемого Cyber.Police. Это блокировщик доступа к системе, который отображает слабую имитацию официального предупреждения для любителей порноконтента, написанного от имени «американского агентства национальной безопасности» или «агентства безопасности нации». «Вымогатель не грозит шифрованием данных (и не шифрует их), — пишет Брандт в своей заметке. — Вместо этого он запирает устройство, и им уже нельзя пользоваться — разве что отослать злоумышленникам выкуп в виде кодов двух подарочных карт Apple iTunes по $100».  Жертву уверяют, что «штраф» в такой странной форме якобы непременно попадет на некий «казначейский счет». Со слов Брандта, удалить данного зловреда лучше всего откатом Android-устройства до заводских настроек… полный текст статьи на сайте Threatpost

Скриншот твиттера Darren Cauthon с сообщением о вирусе вымогателе
Скриншот твиттера Darren Cauthon с сообщением о вирусе вымогателе

Оставьте комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.