Вимагач шифрує файли для Android

5.06.2014

Нещодавно був виявлений зразок шкідливого коду для Android, який зацікавив антивірусну лабораторію. Шкідливий код - вимагач (ransomware) для Android, який шифрує файли, а потім вимагає кошти за проведення розшифровки. Такий вимагач широко поширений в світі Windows. Шахраї шифрують файли, блокують робочий стіл, а потім вимагають викуп.

Після зараження пристрою, шкідлива програма, яка була додана в наші бази як Android/Simplocker.А, перевіряє картку пам'яті на наявність у неї відповідних типів файлів, після чого шкідливе ПО, шифрує їх і блокує доступ до пристрою. В результаті чого приходить повідомленням про викуп. Дана шкідлива програма здійснює свої дії так само, як і вимагачі для Windows.

Рис 1. Повідомлення, яке з'являється після блокування пристрою.

Аналізуючи, повідомлення про блокування, робимо висновок - вимагач, який має російські та українські корені спрямований на українських користувачів. Для оплати використовується сервіс MoneyXy, так як його клієнтів відстежити не просто. Android/Simplocker.А після зараження пристрій буде шукати у файловій системі карти пам'яті наявність файлів з розширеннями: jpeg, jpg, png, bmp, gif, pdf, doc, docx, txt, avi, mkv, 3gp, mp4. Після того як Simplocker виявить ці файли, кожен з них буде зашифровано за допомогою симетричного алгоритму шифрування AES.

Рис 2. Зашифровані Android/Simplocker.

A файли з розширенням .enc. Вимагач працює спільно з C&C - сервером і відправляє йому певну інформацію розпізнавання пристрою - ідентифікатор IMEI. URL самого C&C - сервера розміщується на домені .onion, що належить анонімної мережі TOR, що допомагає шахраям в анонімності.

Рис 3. Частину коду Android/Simplocker.

A підключення до мережі TOR. На скріншоті екрану блокування (Рис 3), повідомлення не має спеціального поля для введення коду, який би підтверджував отримання викупу шахраями. Такі поля для введення коду вимагачі використовують для Windows. Android/Simplocker.A протягом усього часу прослуховує з'єднання з C&C - сервером, щоб переконатися в тому, що викуп був переведений шахраям. Android/Simplocker.A має досить невеликий рівень поширеності на сьогоднішній день, так як не був виявлений в Google Play. Даний Android/Simplocker.A був поширений у вигляді програми з ім'ям «Sex xionix».

Android/Simplocker.A має код за допомогою якого відбувається розшифрування зашифрованих файлів на пристрої, проте йти на поводу у зловмисників не рекомендується. Гарантій на те, що після викупу файли будуть розшифровані немає.

Для захисту користувачів від такого типу загроз рекомендується використовувати додаток ESET Mobile Security для Android, яка буде стежити за безпекою вашого пристрою.

Для зниження ймовірності компрометації пристрою шкідливим ПЗ не встановлюйте додатки з сумнівних джерел.

Резервне копіювання даних на пристрої, дозволить швидко відновити свої дані з резервного джерела і захистити себе від здирників-шифрувальників.