Вимагач для Android шифрує файли на пристрої

    Минулого тижня наша антивірусна лабораторія виявила цікавий зразок шкідливого коду для Android. Він представляє з себе вимагач (ransomware) для пристроїв під управлінням Android, який шифрує файли користувача, а потім вимагає грошовий викуп за їх розшифровку. Такий тип вимагачів є широко поширеним явищем у світі Windows. Зловмисники шифрують файли користувача, а потім блокують робочий стіл з вимогою викупу.
 
 
 
Шкідлива програма була додана в наші бази як Android / Simplocker . Після зараження пристрою, вона перевіряє карту пам'яті на предмет присутності там певних типів файлів, далі шифрує їх і блокує доступ до пристрою з повідомленням про викуп. Simplocker виробляє свої операції аналогічно тому, як це роблять вимагачі для Windows.
 
 
Рис. Повідомлення, яке виводить шкідлива програма при блокуванні пристрою.
 
Як видно на скріншоті вище, повідомлення про блокування написано російською мовою і вимагає виплати викупу в українських гривнях, що дозволяє припустити націленість вимагача на Україну. Відзначимо, що найперші Android SMS-трояни (включаючи Android / Fakeplayer ), які з'явилися в 2010 р., також мають російське і українське походження.
 
Зловмисники направляють жертву на оплату викупу з використанням сервісу MoneyXy так як клієнтів цього сервісу не так просто відстежити, на відміну від клієнтів звичайних платіжних систем, які працюють з кредитними картами.
 
Після зараження пристрої, шкідливий код Android / Simplocker.A перевірятиме файлову систему карти пам'яті на предмет присутності там картинок, документів або відео, тобто файлів з наступними розширеннями: jpeg, jpg, png, bmp, gif, pdf, doc, docx, txt, avi, mkv, 3gp, mp4. Після виявлення цих файлів, кожен з них буде зашифрований з використанням симетричного алгоритму шифрування AES.
 
 
Рис. Зашифровані Android / Simplocker.A файли. Для кожного файлу додано нове розширення. Enc.
 
Вимагач взаємодіє зі своїм віддаленим C & C-сервером і відправляє йому деяку розпізнавальну інформацію про пристрій, наприклад, ідентифікатор IMEI . Цікаво відзначити, що URL самого C & C-сервера розміщується на домені. Onion, який належить анонімної мережі TOR. Це дозволяє зловмисникам забезпечувати належний рівень анонімності.
 
 
Рис. Частина коду Android / Simplocker.A для підключення до мережі TOR.
 
Як ви можете побачити на скріншоті екрану блокування вище, повідомлення не містить спеціального поля для введення коду, що підтверджує отримання викупу зловмисниками. Таке поле для введення коду широко поширене в разі здирників для Windows. Замість цього, Android / Simplocker.A постійно прослуховує з'єднання з C & C-сервером для отримання повідомлення про підтвердження того, що кошти були успішно переведені зловмисникам.
Проаналізований нами зразок Android / Simplocker.A поширювався у вигляді додатку з ім'ям «Sex xionix». Він не був виявлений в Google Play і ми вважаємо, що він має досить невеликий рівень поширеності на сьогоднішній день.
 
Наш аналіз цієї загрози показав, що у випадку з Simplocker, зловмисникам вдалося наблизитися до реалізації концепції сумнозвісного вимагача Cryptolocker, який наробив багато шуму в світі Windows. Незважаючи на те, що Android / Simplocker.A містить код з розшифрування зашифрованих файлів на пристрої, ми настійно не рекомендуємо користувачам йти на поводу у зловмисників. Немає ніякої гарантії, що після оплати необхідної суми файли будуть розшифровані або ви не потрапите потім на вудку зловмисників знову.
 
Ми рекомендуємо користувачам захистити себе від подібного типу загроз за допомогою профілактики і захисних проактивних заходів. Для цього можна використовувати додаток ESET Mobile Security для Android, яка підтримуватиме ваш пристрій в безпеці. При роботі з Android не встановлюйте на свій пристрій додатки, отримані з ненадійних джерел, це істотно знизити ризик компрометації пристрої шкідливим ПЗ. Своєчасно виконуйте резервне копіювання даних на вашому пристрої, це один з кращих способів захисту від здирників-шифрувальників, оскільки дозволить оперативно відновити свої дані з резервного джерела.
    
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.