Вірус-вимагач для Android навчився шифрувати файли

Експерти компанії Eset виявили шкідливу програму-здирника Simplocker для пристроїв під управлінням ОС Android, який шифрує файли, а потім вимагає грошовий викуп за їх розшифровку. Такий тип програм-вимагачів широко поширений на платформі Windows, однак для Android виявлений вперше, говориться в блозі компанії.

Як пояснили «Ленте.ру» Eset, раніше експерти виявили кілька програм-вимагачів, які просто блокували пристрій, не зашифровувавши файли на ньому. В одному з випадків зловмисники вимагали для розблокування «купити і встановити антивірусну програму», зустрічалася також модифікація з вимогою внести штраф за перегляд нелегального контенту, відвідування заборонених сайтів і т.п.

Після зараження пристрій користувача шкідлива програма перевіряє картку пам'яті на предмет присутності картинок, документів або відео, після чого кожен з таких файлів зашифровується, а доступ до пристрою користувача блокується.

Далі на екрані з'явиться повідомлення про блокування пристрою. Повідомлення написано російською мовою, однак вимагає виплати викупу в українських гривнях, що, на думку експертів Eset, передбачає націленість здирника на Україну.

Зловмисники пропонують користувачеві, пристрій якого заблоковано, заплатити викуп, використовуючи сервіс MoneXy, оскільки клієнтів цього сервісу не так просто відстежити, на відміну від звичайних клієнтів платіжних систем, які працюють з кредитними картами. У повідомленні вказується, що після надходження грошових коштів на рахунок зловмисників пристрій буде розблоковано протягом 24 годин.

У випадку з Simplocker програма вже містить код розшифровки файлів, за який користувачеві пропонується заплатити, що, однак, не означає, що після оплати «викупу» власник поверне керування пристроєм.

Шкідливе програмне забезпечення (ПО) Simplocker поширювалося у вигляді програми з ім'ям Sex xionix. Воно не було виявлено в магазині додатків Google Play і, на думку експертів, має невеликий рівень поширеності на сьогоднішній день, однак платформа Android допускає установку ПО зі сторонніх ресурсів, де користувачі могли випадково натрапити на нього.

Програма-вимагач взаємодіє з віддаленим сервером і відправляє йому деяку розпізнавальну інформацію про пристрої, наприклад, ідентифікатор IMEI. Експерти відзначають, що адреси сервера відноситься до домену .onion, який належить анонімної мережі TOR, що дозволяє зловмисникам забезпечувати належний рівень скритності.

«Наш аналіз цієї загрози показав, що у випадку з Simplocker зловмисникам вдалося наблизитися до реалізації концепції відомого здирника Cryptolocker, який наробив багато шуму в світі Windows», ─ уточнили в Eset.

По материалам: LENTA.RU

Автор: Евгений Плотский | Дата публикации: 07.06.14 |

Комментарии

Комментировать

ВКонтакте
FaceBook