Эксперты ESET из Братиславы (Словакия) выявили новейшие модификации трояна-вымогателя Simplocker, который атакует мобильные устройства, базирующиеся на Android. Согласно данным ESET LiveGrid, самое большее распространение данный троян получил в РФ и Украине.

Simplocker стал первым трояном-вымогателем для смартфонов и планшетов, работающим на Android, способным шифровать пользовательские файлы. Он выполняет блокировку доступа к устройству, после чего требует денежный выкуп за осуществление расшифровки.

Новейшие модификации Simplocker, которые обнаружены аналитиками ESET, друг от друга отличаются рядом признаков:

* есть варианты, которые для связи с единым командным сервером используют вполне обыкновенные домены, а есть и иные – использующие домены .onion, что принадлежат к анонимной сети TOR;

* выявлены различные пути для того, чтобы передать команду decrypt, сигнализирующую о факте получения денежного выкупа злоумышленниками;

* применяются различные интерфейсы окон, в которых содержится требование выкупа и разные валюты (гривна и рубль);

* есть модификации, которые используют в своем сообщении о блокировке фотоснимок пользователя, сделанный на встроенную в устройство камеру;

* вопреки обещаниям мошенников, некоторые версии Simplocker не зашифровывают файлы, а лишь блокируют устройство.

Совместно с этим в подавляющем большинстве модификаций применяется упрощенный подход к шифровке с использованием жестко зашитого ключа и алгоритма AES.

Телеметрическая система ESET LiveGrid дала возможность установить основные зараженческие векторы Simplocker. Зачастую злоумышленники маскируют свой троян под популярную игру, либо приложение порнографического характера.

Кроме того, Simplocker распространяется посредством downloader (загрузчика), удаленно устанавливающего основной файл зловреда. Использование данного типа вредонесущего ПО является стандартной практикой для Windows, однако в последнее время программы создаются и специально для Android.

Сотрудники ESET тщательно изучили загрузчик, который детектируется решениями ESET NOD32 в качестве Android/TrojanDownloader.FakeApp. Распространялся он как видеоплеер USSDDualWidget при помощи магазина приложений. URL-адрес приложения не указывал напрямую на вредонесущий файл с трояном, потому загрузчик совершенно не вызывал подозрений. Процесс установки Simplocker осуществлялся после перенаправления на иной сервер, который находится под контролем киберзлодеев.

По словам Артема Баранов, ведущего вирусного аналитика российского отделения ESET, подобные приложения способны появляться даже на таком сервисе, как Google Play и с успехом избегать разоблачения многочисленными security-приложениями, в частности, Bounce. Причина кроется в том, что загрузчики такого плана при установке не просят подозрительных разрешений на получение доступа, сам же факт перехода по URL не говорит о вредонесущей активности.

Дабы не превратиться в жертву операторов Simplocker, сотрудники ESET рекомендуют отказываться от загрузки разного рода подозрительных приложений, постоянно выполнять операцию резервного копирования данных и применять мобильный антивирус.

Источник: www.esetnod32.ru