Rafel RAT néven terjed egy új androidos zsarolóvírus (ransomware), melyet már számos kiberbűnöző használt nem támogatott készülékek támadására azzal a céllal, hogy lezárják, és pénzt követeljenek a hozzáférhetetlen adatok újbóli elérhetőségéért – írja a Bleeping Computer.

A veszélyes kártevőre a Check Point két kiberbiztonsági szakembere, Antonis Terefos és Bohdan Melnykov figyelt fel, és már egy sor rosszindulatú csoport vetette be. A célpontok között kormányzati és katonai szervezetek is megtalálhatók.

A kutatók megfigyelései szerint a zsarolóvírust szinte kizárólag elavult Androidot futtató készülékekre küldték ki a támadók, 87,5 százalékban Android 11 és régebbi operációs rendszerrel működő eszközöket fertőztek meg. Az érintett márkákat illetően hosszú a lista, Samsung, Xiaomi, Motorola, OnePlus és Huawei készülékei is megertőződtek.

Az Android 11, valamint az annál régebbi rendszereket futtató okostelefonok és táblagépek már nem kapnak biztonsági frissítéseket, ezért védtelenek az efféle támadásokkal szemben.

A támadók valamilyen fertőzött app telepítésére veszik rá az áldozatokat: ezek lehetnek Instagramot, WhatsAppot vagy éppen valamilyen vírusirtót ígérő APK-fájlok. Telepítést követően egy sor dologhoz kér hozzáférést a fertőzött app, például ahhoz, hogy futhasson a háttérben is.

A káros tevékenységek sora hosszú: a korábban ecsetelt zsarolóvírus-támadás mellett törölhet minden fájlt az eszközről, továbbíthatja a támadónak az összes SMS-t (ami a kétlépcsős hitelesítőkódok miatt veszélyes igazán), lezárhatja és feloldhatatlanná teheti a készüléket, vagy éppen folyamatosan továbbíthatja a helyadatokat a támadónak.

A leggyakoribb ugyanakkor a zsarolóvírus-támadás, melynek során a támadó átveszi az irányítást az eszköz felett, és titkosítja az azon tárolt fájlokat egy AES-titkosítókulcs segítségével. A támadó minden kritikus rendszerfunkció felett átveszi az irányítást, a jelkódot is megváltoztathatja, és egy tetszőleges üzenetet is elhelyezhet a képernyőn – jellemzően ez tartalmazza a követeléseket.

Ha a felhasználó megpróbálná elvenni a jogokat a zsarolóvírustól, a támadó gyorsan a „kezére csap”, és még azt megelőzően megváltoztatja a jelkódot, valamint lezárja a képernyőt, hogy ezt megtehetné.

A megelőzés pofonegyszerű: nem szabad programokat telepíteni ismeretlen forrásból, pláne nem gyanús hirdetésekből. Mindig keresse fel inkább a Play Áruházat, és konkrétan keressen rá valamire – de azért ügyeljen arra is, hogy megbízható, ismert fejlesztőtől szerezze be a programokat, időnként ugyanis a Play szűrőin is átcsúsznak kártékony appok.

Ha már megtörtént a baj, és pénzt követelnek öntől a támadók, nem javasolt megfizetni a váltságdíjat: nincs garancia arra, hogy tényleg meg is fogja kapni a visszafejtő kulcsot a titkosított adataihoz.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.