Появился троян-вымогатель под Android

05.06.2014 | 23:32 Экономика

Это первая программа-вымогатель под Android со способностью шифрования файлов, говорят исследователи из ESET

Модель вредоносного программного обеспечение, которое работает как вымогатель всё чаще используется киберпреступниками, которые нацелены на мобильных пользователей. Одно из их последних творений способно зашифровать файлы, хранящиеся на картах памяти SD Android-устройств.

Новую угрозу назвали Android/Simplock. Она была идентифицирована исследователями из антивирусной фирмы ESET в минувшие выходные. В то время, как это не первая программа- вымогатель для Android, она является первой известной программой, которая берёт файлы в заложники путем их шифрования.

Другие программы-вымогатели под Android существовали и ранее, например, Android Defender, обнаруженный в июне 2013 года, и Android.Koler, обнаруженный в мае. Они использовали методы блокировки экрана и генерировали постоянные предупреждения, чтобы нарушить нормальную работу заражённых устройств.

«Android/Simplocker сканирует карту памяти в поисках файлов изображений, документов или видео, с расширениями: JPEG, JPG, PNG, BMP, GIF, PDF, DOC, DOCX, TXT, AVI, MKV, 3GP, MP4 и шифрует их с помощью AES (Advanced Encryption Standard)», заявили в среду в своем блоге исследователи ESET.

Вредоносная программа будет отображать сообщение на русском с требованием выкупа в размере $21.40, который должен быть сделан через сервис под названием MoneXy. Это означает, что, по крайней мере сейчас, эта угроза направлена на пользователей в русскоговорящих странах.

Использование шифрования для удержания файлов в заложниках стало популярным среди вирусописателей благодаря Cryptolocker – программе-вымогателю под Windows, которая заразила более 250000 компьютеров в течение последних трех месяцев 2013 года. ФБР и правоохранительные органы в других странах захватили командно-управляющие серверы, используемые Cryptolocker в рамках последней операции, разрушающей ботнет Gameover Zeus
«Наш анализ образца Android/Simplock показал, что мы, скорее всего, имеем дело с образцом доказательства правильности концепции или незавершенного производства. Например, реализация шифрования не приблизилась к печально-известному Cryptolocker на Windows», пишут исследователи ESET.

Новая угроза маскируется под приложение «Sex xionix», но оно не было найдено на Google Play и его распространение, скорее всего, небольшое.

Другим интересным аспектом Simplock является то, что для командно-контрольного (C&C) сервера он использует адрес домена .onion. Домен псевдо-верхнего уровня .onion используется только внутри анонимной сети Tor для доступа к так называемым скрытым сервисам.

После установки на устройство, приложение-вымогатель посылает информацию об устройстве (номер IMEI) на сервер C&C и ждёт получения команды для расшифровки файлов — скорее всего, после подтверждения оплаты.

«Несмотря на то, что вредоносные программы действительно содержат функциональность для расшифровки файлов, мы настоятельно рекомендуем не платить — не только потому, что это будет мотивировать других авторов вредоносных программ продолжать эти грязные операции, но и потому, что нет никакой гарантии, что мошенник выполнит свою часть сделки и расшифрует их», пишут исследователи ESET.