Компания
189,16
рейтинг
5 июня 2014 в 13:42

Разное → Вымогатель для Android шифрует файлы на устройстве

На прошлой неделе наша антивирусная лаборатория обнаружила интересный образец вредоносного кода для Android. Он представляет из себя вымогатель (ransomware) для устройств под управлением Android, который шифрует файлы пользователя, а потом требует денежный выкуп за их расшифровку. Такой тип вымогателей является широко распространенным явлением в мире Windows. Злоумышленники шифруют файлы пользователя, а затем блокируют рабочий стол с требованием выкупа.



Вредоносная программа была добавлена в наши базы как Android/Simplocker. После заражения устройства, она проверяет карту памяти на предмет присутствия там определенных типов файлов, далее шифрует их и блокирует доступ к устройству с сообщением о выкупе. Simplocker производит свои операции аналогично тому, как это делают вымогатели для Windows.


Рис. Сообщение, которое выводит вредоносная программа при блокировании устройства.

Как видно на скриншоте выше, сообщение о блокировке написано на русском языке и требует выплаты выкупа в украинских гривнах, что позволяет предположить нацеленность вымогателя на Украину. Отметим, что самые первые Android SMS-трояны (включая Android/Fakeplayer), которые появились в 2010 г., также имеют российское и украинское происхождение.

Злоумышленники направляют жертву на оплату выкупа с использованием сервиса MoneyXy так как клиентов этого сервиса не так просто отследить, в отличие от клиентов обычных платежных систем, которые работают с кредитными картами.

После заражения устройства, вредоносный код Android/Simplocker.A будет проверять файловую систему карты памяти на предмет присутствия там картинок, документов или видео, т. е. файлов со следующими расширениями: jpeg, jpg, png, bmp, gif, pdf, doc, docx, txt, avi, mkv, 3gp, mp4. После обнаружения этих файлов, каждый из них будет зашифрован с использованием симметричного алгоритма шифрования AES.


Рис. Зашифрованные Android/Simplocker.A файлы. Для каждого файла добавлено новое расширение .enc.

Вымогатель взаимодействует со своим удаленным C&C-сервером и отправляет ему некоторую опознавательную информацию об устройстве, например, идентификатор IMEI. Интересно отметить, что URL самого C&C-сервера размещается на домене .onion, который принадлежит анонимной сети TOR. Это позволяет злоумышленникам обеспечивать должный уровень анонимности.


Рис. Часть кода Android/Simplocker.A для подключения к сети TOR.

Как вы можете увидеть на скриншоте экрана блокировки выше, сообщение не содержит специального поля для ввода кода, подтверждающего получение выкупа злоумышленниками. Такое поле для ввода кода широко распространено в случае вымогателей для Windows. Вместо этого, Android/Simplocker.A постоянно прослушивает соединение с C&C-сервером для получения сообщения о подтверждении того, что средства были успешно переведены злоумышленникам.

Проанализированный нами образец Android/Simplocker.A распространялся в виде приложения с именем «Sex xionix». Он не был обнаружен в Google Play и мы полагаем, что он имеет довольно небольшой уровень распространенности на сегодняшний день.

Наш анализ этой угрозы показал, что в случае с Simplocker, злоумышленникам удалось приблизиться к реализации концепции печально известного вымогателя Cryptolocker, который наделал много шума в мире Windows. Несмотря на то, что Android/Simplocker.A содержит код по расшифровке зашифрованных файлов на устройстве, мы настоятельно не рекомендуем пользователям идти на поводу у злоумышленников. Нет никакой гарантии, что после оплаты необходимой суммы файлы будут расшифрованы или вы не попадетесь потом на удочку злоумышленников снова.

Мы рекомендуем пользователям защитить себя от подобного типа угроз с помощью профилактики и защитных проактивных мер. Для этого можно использовать приложение ESET Mobile Security для Android, которое будет поддерживать ваше устройство в безопасности. При работе с Android не устанавливайте на свое устройство приложения, полученные из ненадежных источников, это существенно снизить риск компрометации устройства вредоносным ПО. Своевременно выполняйте резервное копирование данных на вашем устройстве, это один из лучших способов защиты от вымогателей-шифровальщиков, так как позволит оперативно восстановить свои данные из резервного источника.
Автор: @esetnod32
ESET NOD32
рейтинг 189,16

Комментарии (17)

  • +2
    Синхронизация данных с DropBox, GDrive, Яндекс.Диском или Облаком от Мейла — и проблемы не стоит вообще.
    • +2
      Я бы посоветовал ещё двухуровневую аутентификацию, дабы без второго пина небыло доступа к сервису (того же DropBox'a).
    • +1
      К слову как я понял чаще всего оно шифрует именно фотографии, а они в свою очередь синхронизируются еще и с гугл+. И к слову лучший антивирус это смотреть отзывы + не качать все подряд. Это и так понятно что имея какие либо права их можно использовать как в пользу так и во вред.
    • +2
      Синхронизация может выйти боком — так бы вы потеряли данные только на смартфоне, а с синхронизацией зашифрованные данные расползутся по всем вашим устройствам.
      • +1
        Если файл изменен на устройстве, и удален на устройства — то в лучшем случае я получу в DropBox дополнительно зашифрованную версию файлов, исходная никуда не пропадет.
        • 0
          Не все службы синхронизации хранят или предоставляют доступ к старым версиям файлов.
          Но даже если вы пользуетесь дропбоксом, и зловред зашифрует все файлы в нём, то дропбокс их синхронизирует, и вам придётся откатывать на исходную версию тысяч пять файлов, например. Вручную. Или существуют удобные инструменты для этого?
          Дропбокс — это не бэкап. Дропбокс — это синхронизация. От шифрующих файлы вымогателей он не очень-то поможет. Только ежедневные автоматические полные бэкапы всего устройства!
          • +1
            В данном примере, насколько я вижу, меняется расширение файлов, то есть для дропбокса — это уже новые файлы, он не будет замещать ими старые версии. В худшем случае, добавит новых.
    • 0
      Почему? Насколько я понимаю, вирус удалит старые файлы и добавит новые зашифрованные. И это синхронизируется на все устройства. Т. е. наоборот, такая синхронизация — возможность поймать зловреда в одном месте и потерять данные везде.
  • 0
    Кстати, не понимаю, почему такого рода трояны вообще дешифруют диск.
    Честный дешифратор ведь сделать сложнее, чем программу, которая тупо всё сотрёт и будет бесконечно требовать денег.
    • +2
      Тут по моему все логично. Как только человек попадает в такую ситуацию он идет гуглить. И если нагугливает, что дешифратора нет и данные потеряны — деньги никогда не отдаст. А если находит отзывы, что после уплаты данные вернулись — может смирится и заплатить.
      • 0
        Обычно поиск в гугле сразу выдаёт средства снятия блокираторов. Так что платить скорее пойдёт человек, который в гугл не заходил. Следовательно, если программа не разблокировалась после первой оплаты, может такой попробовать заплатить ещё раз.
        • 0
          Не всегда можно расшифровать. Например вирус шифрует, отправляет ключ на сервер и удаляет его с девайса.
          • 0
            Понятно, что можно написать сложный для взлома и надёжный блокировщик. Но зачем это делать, если можно просто всё сломать.
  • 0
    При наличии рута ключ наверняка вынимается из соответствующей папки в /data/data в два счёта. А антивирусы для Android всё ещё не нужны, т.к. не могут иметь достаточного уровня доступа к системе для какой бы то ни было «защиты».
    • 0
      Посмотрите какие разрешения требует ESET Mobile Security для Android и прочитайте свой комментарий ещё раз.

      А по теме — Считаю что именно в уровнях доступа и есть проблема в прицепе. Считаю что каждая конкретно программа должна требовать только те права которые описаны в её описании/функционале. А доступ к непосредственно файлам — считаю, вообще должен выдаваться человеком — программе, таким образом чтобы программа видела только тот фаил которые человек сам ей откроет., т.е. например представьте себе закрытую «песочницу» файлы в которую могут попасть только если владелец сам их туда положит.
  • 0
    esetnod32, расскажите, как ключ генерируется? Просто генерируется какая-то строка, и используется в качестве ключа, которая затем отправляется на сервер, или же наоборот, с сервера троян получает ключ, которым следует шифровать данные?
  • 0
    Как видно на скриншоте выше, сообщение о блокировке написано на русском языке

    Граммар-наци во мне от такого русского негодует. Такое ощущение, что у нас вымогательством занимаются школьники.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Самое читаемое Разное