Программы блокировщики и шифровальщики атакуют устройства на Android

Doctor Web Logo22 мая 2014 года антивирус Dr.Web для Android начал детектировать первый в истории энкодер для Android, и уже к середине июня ассортимент программ-вымогателей, угрожающих пользователям данной мобильной платформы, заметно расширился.

Первым представителем подобного класса угроз стал троянец-шифровальщик Android.Locker.2.origin, способный заражать устройства, работающие под управлением ОС Android. Он представляет чрезвычайно высокую опасность. Запустившись на инфицированном мобильном устройстве, данная вредоносная программа находит хранящиеся на сменных картах смартфона или планшета файлы с расширениями .jpeg, .jpg, .png, .bmp, .gif, .pdf, .doc, .docx, .txt, .avi, .mkv, .3gp, после чего шифрует их, добавляя к каждому файлу расширение .enc. Затем экран мобильного устройства блокируется и на него выводится сообщение с требованием заплатить выкуп за расшифровку файлов.

LockerОт действий троянца могут пострадать хранящиеся на сменных картах мобильного устройства фотографии, видео и документы. Кроме того, энкодер похищает и передает на сервер злоумышленников различную информацию об инфицированном устройстве (включая, например, идентификатор IMEI). Для шифрования используется алгоритм AES, а управляющий сервер данной вредоносной программы расположен в сети TOR на ресурсе с псевдодоменом .onion, что позволяет злоумышленникам обеспечивать высокий уровень скрытности.

В отличие от других аналогичных вредоносных программ, троянец Android.Locker.5.origin ориентирован в первую очередь на пользователей из Китая. Судя по некоторым признакам, вирусописатели разрабатывали его не с целью заработка, а просто желая подшутить над незадачливыми жертвами. После своего запуска Android.Locker.5.origin блокирует мобильное устройство и демонстрирует на его экране следующее сообщение:

Locker В тексте говорится о том, что данное приложение позволит заблокированному телефону «немного отдохнуть», а в нижней части окна располагается таймер, отсчитывающий 24 часа, — по истечении этого времени мобильное устройство автоматически разблокируется. Android.Locker.5.origin использует системные функции Android для проверки статуса своего процесса, автоматически перезапускает его в случае остановки и предотвращает попытки запуска на устройстве других приложений, что значительно затрудняет возможность удаления этого троянца. В остальном Android.Locker.5.origin не располагает какой-либо опасной функциональностью, позволяющей зашифровать или удалить файлы на инфицированном планшете или смартфоне.

В июне семейство троянцев-вымогателей для Android пополнилось угрозами, получившими наименования Android.Locker.6.origin и Android.Locker.7.origin, — под этими именами скрываются ориентированные на американских пользователей вредоносные программы, блокирующие экран мобильного устройства и требующие у жертвы выкуп за его разблокировку. Данные программы распространяются под видом проигрывателя Adobe Flash и в момент установки требуют у пользователя предоставить приложению права администратора.

Locker Затем троянец имитирует сканирование устройства и блокирует экран, на который выводится сообщение об обнаружении якобы незаконного контента.

Locker За разблокировку устройства троянец требует заплатить 200 долларов с использованием платежной системы MoneyPack.

Locker В процессе своей установки вредоносные программы Android.Locker.6.origin и Android.Locker.7.origin проверяют наличие на инфицированном устройстве следующих приложений:

com.usaa.mobile.android.usaa; com.citi.citimobile; com.americanexpress.android.acctsvcs.us; com.wf.wellsfargomobile; com.tablet.bofa; com.infonow.bofa; com.tdbank; com.chase.sig.android; com.bbt.androidapp.activity; com.regions.mobbanking.В случае их обнаружения троянец отправляет информацию об этом на принадлежащий злоумышленникам сервер. Также Android.Locker.6.origin и Android.Locker.7.origin похищают на зараженном устройстве данные из адресной книги (имя контакта, номер телефона и email), отслеживают входящие и исходящие вызовы и могут их блокировать. Вся собранная информация, в том числе о телефонных звонках, также передается на управляющий сервер.

©  iXBT