Жертвами трояна Simplocker стали в основном потребители Росси и Украины

Экспертами вирусной лаборатории ESET в Братиславе обнаружены новые модификации трояна-вымогателя Simplocker. Он очень вреден, потому что атакует массовые мобильные устройства на базе Android. Данные облачной технологии ESET LiveGrid свидетельствуют о том, что троян очень распространен в России и Украине (до 90% всех заражений).

 

Можно сказать, Simplocker – троян-вымогатель для смартфонов и планшетов на Android под номером один. Он наделен способностью шифровать файлы пользователя. Он также способен заблокировать доступ к устройству, чтобы потом за расшифровку потребовать денежный выкуп.

 

Отличие новых модификаций Simplocker друг от друга в том, что некоторые варианты применяют для связи с командным сервером обычные домены. Другие же – специальные домены, которые принадлежат анонимной сети TOR. 

 

Эксперты также обнаружили, что команда decrypt передается различными путями. Она подает сигнал, подтверждает факт получения выкупа злоумышленниками. Также нашли применение разные интерфейсы окон, которые требуют выкуп, и различные валюты. Будь то рубль или гривна. 

 

Есть и такие модификации, которые применяют фото пользователя в сообщении о блокировке. Фотография при этом сделана на встроенную камеру устройства. Несмотря на обещания мошенников, есть версии Simplocker, которые вообще не шифруют файлы. Они только блокируют устройство.

 

Отметим, что в большинстве модификаций применяют очень простой подход к шифрованию, когда используется алгоритм AES и ключ, который жестко зашит.

 

 

Системе телеметрии ESET LiveGrid удалось определить главные векторы заражения Simplocker. Оказалось, что злоумышленники предпочитают маскировать троян под приложение с порнографическим контентом. Для этих целей подходит и популярная игра. Скажем, это может быть Grand Theft Auto: San Andreas.

 

Simplocker распространяется также загрузчиком (downloader). Он устанавливает основной файл трояна удаленно. Этот тип вредоносного ПО для Windows – обычная практика. Теперь же такие программы разрабатывают и для Android.

 

Изучение одного из загрузчиков показало, что его распространяют через магазин приложений под видом видеоплеера USSDDualWidget. Его URL-адрес не указывал на вредоносный файл с трояном, и потому ранее загрузчик был вне подозрений. Simplocker устанавливался после перенаправления на сервер, который был под контролем злоумышленников. 

 

Аналогичные приложения могут появляться даже на Google Play и не быть разоблаченными со стороны security-приложений. Поэтому в целях профилактики есть смысл не загружать подозрительных приложений, постоянно выполнять резервное копирование данных и не забывать применять мобильный антивирус.