Hoe de Cyber ​​Police Android-ransomware te verwijderen

Een exploit genaamd ‘Cyber ​​Police’ is al een tijdje in het wild bekend, maar een nieuwe methode die er gebruik van maakt kan nu gevolgen hebben voor miljoenen Android-apparaten. Het vergrendelt uw apparaat, waardoor het onbruikbaar wordt, en het kan op een apparaat worden geïnstalleerd zonder enige gebruikersinteractie van het slachtoffer.

Cyber ​​Police, een vorm van ransomware, werd onlangs ontdekt door Blue Coat-laboratoria en bevestigd door Zimperium Labs, dezelfde groep die de StageFright-hack.

Wat is ransomware?

Ransomare is software met kwaadaardige code die een apparaat of computer kan vergrendelen zodat deze niet kan worden gebruikt. Dit betekent dat u geen apps kunt openen of toegang kunt krijgen tot de instellingen op het apparaat. Meestal verschijnt er een bericht waarin wordt uitgelegd dat het apparaat is vergrendeld en dat u “losgeld” moet betalen om het te ontgrendelen en de schadelijke software te verwijderen.

Het goede nieuws is dat uw gegevens meestal veilig zijn, maar het slechte nieuws is dat het betalen van het losgeld de software niet daadwerkelijk verwijdert.

De cyberpolitie-hack uitgelegd

De naam Cyberpolitie komt van de manier waarop deze zichzelf vertegenwoordigt zodra deze actief is op uw apparaat. U ziet een bericht zoals hieronder waarin wordt uitgelegd dat uw apparaat is vergrendeld omdat u in het verleden vermoedelijk op illegale websites heeft gesurft.

Het bericht beweert afkomstig te zijn van een soort agentschap, dat de ‘Amerikaanse nationale veiligheidsdienst’ of iets dergelijks zou kunnen worden genoemd.

Dit “agentschap” geeft je een bepaalde hoeveelheid tijd om een ​​“losgeld” te betalen, zodat er geen juridische stappen worden ondernomen, en als extra bonus zal het “agentschap” je apparaat herstellen. In dit voorbeeld bestaat het “losgeld” uit twee Apple iTunes-cadeauboncodes van $ 100. Klinkt eenvoudig genoeg, maar u bent nooit juridisch bedreigd geweest, en door het losgeld te betalen, wordt uw apparaat niet ontgrendeld.

Het enge deel van deze exploit is dat deze via een eenvoudige advertentie op een webpagina op uw apparaat kan worden geïnstalleerd, zonder dat u deze daadwerkelijk hoeft te openen. En er is geen manier om deze kwaadaardige advertenties te detecteren. Andrew Brandt, directeur dreigingsonderzoek bij Blue Coat Labs, zei: “Dit is, voor zover ik weet, de eerste keer dat een exploitkit met succes kwaadaardige apps op een computer kan installeren. mobiel apparaat zonder enige gebruikersinteractie van het slachtoffer.” Omdat de exploit eigenlijk een app is, zou je denken dat toestemmingen moeten worden goedgekeurd, maar op de een of andere manier is dat toch zo omzeild.

Nadat de hack door Blue Coat was ontdekt, analyseerde Joshua Drake van Zimperium Labs deze en ontdekte dat de app een roottool gebruikt die bekend staat als Towelroot om de controle over je apparaat over te nemen. Het maakt ook gebruik van bepaalde exploits die zijn gelekt tijdens de inbreuk op het Hacking Team. De Hack-team, gevestigd in Milaan, Italië, verkoopt surveillancemogelijkheden aan lokale handhavingsinstanties, overheden en particuliere bedrijven. A inbreuk Uit de eigen gegevens van het Hacking Team in juli 2015 kwamen verschillende exploits naar voren waar hackers gebruik van konden maken.

Volgens Blue Coat was de Cyber ​​Police-trojan dat wel eerst gedocumenteerd in december 2015, maar deze nieuwere methode bestaat mogelijk al sinds februari 2016.

Betrokken apparaten

Het goede nieuws is dat als je een Android apparaat dat niet veel meer dan een jaar oud is, gaat het waarschijnlijk goed met je. Deze exploit heeft alleen invloed op Android-versies 4.0.3 tot 4.4.4. Dat is Ice Cream Sandwich (2011) tot KitKat (2013). Gelukkig zijn de meeste nieuwere telefoons al geüpgraded naar Lollipop (2014) of hoger. Echter volgens de laatste Android-dashboard (4 april 2016), 56,9 procent van allemaal Android apparaten vallen onder deze versienummers. Dat betekent ruim 500 miljoen Android apparaten worden wereldwijd getroffen. Vanwege het vreselijke tarief het meest Android telefoons updates krijgen, zullen deze apparaten hoogstwaarschijnlijk nooit meer worden bijgewerkt, dus ze zullen altijd kwetsbaar zijn voor de dreiging.

Blue Coat vond de exploit op een oudere Samsung-tablet met CyanogenMod 10, gebaseerd op Android 4.2.2. Hoewel CyanogenMod een aangepast ROM is, hoeft u er geen geïnstalleerd te hebben om de trojan-app uw systeem te laten overnemen. apparaat.

Jezelf beschermen

Ervan uitgaande dat u een Android-apparaat heeft waarop een van de getroffen softwareversies draait, kunt u niet veel doen om een ​​aanval volledig te blokkeren. Er zijn echter een paar dingen die u kunt doen die uw kansen om slachtoffer te worden, kunnen beperken.

Het eerste en meest voor de hand liggende wat u moet doen, is een nieuwer apparaat kopen, aangezien uw huidige telefoon of tablet waarschijnlijk niet wordt bijgewerkt met een patch. Dat is op dit moment natuurlijk misschien niet haalbaar, dus u kunt proberen schaduwrijke websites te vermijden. Dat zijn degenen die waarschijnlijk het type advertenties hebben waarmee de trojan-app op uw apparaat kan worden geïnstalleerd. Het is onwaarschijnlijk dat deze advertenties zullen verschijnen op bekende sites zoals Google, CNN, Amazon, ESPN of Digital Trends (verlaat ons niet!). Een ander ding dat u kunt proberen, is een nieuwere browser-app installeren, zoals Chroom, die mogelijk kunnen voorkomen dat kwaadaardige advertenties uw systeem infecteren.

Zorg er ten slotte voor dat u, wat u ook doet, regelmatig een back-up maakt van al uw foto's, video's, muziek en andere belangrijke bestanden. Hoewel de aanval van de cyberpolitie deze waarschijnlijk niet van uw apparaat zal verwijderen, heeft u er mogelijk geen toegang toe zolang de exploit actief is.

Het verwijderen van de exploit

Er is hier enige onzekerheid, maar er is in ieder geval enige hoop. Het eerste dat u moet weten, is nooit betaal losgeld dat een computerprogramma hoe dan ook naar je gooit. U verliest alleen geld omdat uw apparaat onbruikbaar blijft.

Volgens Brandt van Blue Coat Labs kon hij de Samsung-tablet terugzetten naar de fabrieksinstellingen om de trojaanse app met succes te verwijderen. Helaas heeft een fabrieksreset tot gevolg dat alle gegevens op het apparaat worden gewist. Het is lastig, maar het is de beste optie. Als er nog geen back-up van uw gegevens is gemaakt, kunt u proberen uw telefoon of tablet op een desktop of laptop aan te sluiten en kijken of u de inhoud kunt kopiëren voordat u de fabrieksinstellingen herstelt.

Omdat u niet bij de instellingen kunt komen, moet u de fabrieksinstellingen op een iets andere manier herstellen. Elk apparaat verschilt enigszins, maar probeer dit eens op Samsung-apparaten:

1. Houd de knop ingedrukt Stroom knop, Volume omhoog knop en Thuis toets terwijl het apparaat is uitgeschakeld.
2. Zodra het Samsung-logo verschijnt, laat u los alleen de Aanknop.
3. Het Android-systeemherstelscherm verschijnt.
4. Gebruik de Volume knoppen om te markeren gegevens wissen/fabrieksinstellingen herstellen.
5. druk de Stroom om de fabrieksresetoptie te selecteren.

Sommige gebruikers hebben aangegeven dat ze hun apparaat niet naar de fabrieksinstellingen konden resetten omdat de trojan-app dit verhinderde. Het kan ook zijn dat u geen back-up van uw gegevens heeft en dat u geen toegang tot de gegevens heeft terwijl u uw apparaat op een computer aansluit. In beide gevallen kunt u proberen uw apparaat opnieuw op te starten in de veilige modus. Door dit te doen, kunt u openen Instellingen, gevolgd door de Toepassingen, En Applicatiebeheerder om de trojan-app te verwijderen. Helaas zal het uitzoeken van de trojan-app niet eenvoudig zijn.

U kunt als volgt uw apparaat opnieuw opstarten in de veilige modus:

1. Terwijl uw apparaat is ingeschakeld, houdt u de aan/uit-knop een paar seconden ingedrukt totdat u de melding krijgt om uw telefoon uit te schakelen.
2. Tik en houd vast Uitschakelen optie een paar seconden op het display totdat u de vraag krijgt om te bevestigen dat u opnieuw wilt opstarten naar de veilige modus.

Zodra u zich in de veilige modus bevindt, opent u het Applicatie Manager en zoek naar een app onder de Gedownload tabblad dat u niet herkent en verwijder het. Helaas zal dit waarschijnlijk moeilijker zijn dan het klinkt, maar het is het proberen waard. Zodra u helemaal klaar bent, schakelt u de telefoon of tablet uit zoals u normaal doet en zet u hem weer aan om hem in de normale staat opnieuw op te starten. Hopelijk is de trojan-app verdwenen en wordt je telefoon ontgrendeld. U kunt het proces altijd herhalen en het opnieuw proberen.

Als u uw apparaat niet naar de fabrieksinstellingen kunt resetten of de trojan-app niet kunt verwijderen, is het misschien tijd om een ​​nieuwe te kopen.

Aanbevelingen van de redactie

• Deze meer dan 80 apps kunnen adware uitvoeren op uw iPhone of Android-apparaat