Вымогатель шифрует файлы для Android

5.06.2014

Недавно был обнаружен образец вредоносного кода для Android, который заинтересовал антивирусную лабораторию. Вредоносный код - вымогатель (ransomware) для Android, который шифрует файлы пользователя, а затем вымогает денежные средства за проведение расшифровки. Такой вымогатель широко распространен в мире Windows. Мошенники шифруют файлы, блокируют рабочий стол, а затем требуют выкуп.

После заражения устройства, вредоносная программа, которая была добавлена в наши базы как Android/Simplocker.А, проверяет карту памяти на наличие в ней подходящих типов файлов, после чего вредоносное ПО, шифрует их и блокирует доступ к устройству. В результате чего приходит сообщением о выкупе. Данная вредоносная программа совершает свои действия так же, как и вымогатели для Windows.

Рис 1. Сообщение, которое появляется после блокировки устройства.

Анализируя, сообщение о блокировке, делаем вывод – вымогатель, который имеет российские и украинские корни направлен на украинских пользователей. Для оплаты используется сервис MoneyXy, так как его клиентов отследить не просто. Android/Simplocker.А после заражения устройства будет искать в файловой системе карты памяти наличие файлов с расширениями: jpeg, jpg, png, bmp, gif, pdf, doc, docx, txt, avi, mkv, 3gp, mp4. После того как Simplocker обнаружит эти файлы, каждый из них будет зашифрован с помощью симметричного алгоритма шифрования AES.

Рис 2. Зашифрованные Android/Simplocker.

A файлы с расширением .enc. Вымогатель работает совместно с C&C - сервером и отправляет ему определённую информацию опознавания устройства - идентификатор IMEI. URL самого C&C - сервера размещается на домене .onion, принадлежащий анонимной сети TOR, что помогает мошенникам в анонимности.

Рис 3. Часть кода Android/Simplocker.

A для подключения к сети TOR. На скриншоте экрана блокировки (Рис 3), сообщение не имеет специального поля для ввода кода, который подтверждал бы получение выкупа мошенниками. Такие поля для ввода кода вымогатели используют для Windows. Android/Simplocker.A на протяжении всего времени прослушивает соединение с C&C – сервером, чтобы убедиться в том, что выкуп был переведен мошенникам. Android/Simplocker.A имеет довольно небольшой уровень распространенности на сегодняшний день, так как не был обнаружен в Google Play. Данный Android/Simplocker.A был распространён в виде приложения с именем «Sex xionix».

Android/Simplocker.A имеет код с помощью которого происходит расшифровка зашифрованных файлов на устройстве, однако идти на поводу у злоумышленников не рекомендуется. Гарантий на то, что после выкупа файлы будут расшифрованы нет.

Для защиты пользователей от подобного типа угроз рекомендуется использовать приложение ESET Mobile Security для Android, которое будет следить за безопасностью вашего устройства.

Для снижения вероятности компрометации устройства вредоносным ПО не устанавливайте приложения из сомнительных источников.

Резервное копирование данных на устройстве, позволит быстро восстановить свои данные из резервного источника и защитить себя от вымогателей-шифровальщиков.