С 2017 года количество программ-вымогателей для Android, возможно, пошло на спад, но недавно исследователи компании ESET обнаружили новое семейство программ-вымогателей – Android/Filecoder.C. Используя списки контактов жертв, оно пытается распространяться дальше через SMS-сообщения с вредоносными ссылками.
Было замечено, что это новое семейство программ-вымогателей распространяется на Reddit через темы, связанные с порнографией. Вредоносный профиль, используемый в кампании по распространению программ-вымогателей, был опубликован ESET, но он по-прежнему активен. В течение короткого периода времени эта кампания также проводилась на форуме для «разработчиков XDA», форуме для разработчиков Android; на основании публикации ESET операторы удалили вредоносные сообщения.
«Кампания, которую мы обнаружили – небольшая и малопрофессиональная. Однако, если ее распространение усовершенствуется, эта новая программа-вымогатель может представлять собой серьезную угрозу», – комментирует Лукаш Штефанко, исследователь компании ESET, который руководил исследованием.
Новая программа-вымогатель отличается своим механизмом распространения. Прежде чем начать шифрование файлов, она отправляет пакет текстовых сообщений на каждый адрес в списке контактов жертвы, заманивая получателей щелкнуть по вредоносной ссылке, ведущей к установочному файлу программы-вымогателя. «Теоретически это может вызвать поток инфекций – тем более, что вредоносная программа имеет версии вредоносного сообщения на 42 языках. К счастью, даже ничего не подозревающие пользователи должны обратить внимание на то, что эти сообщения плохо переведены, а некоторые версии, по-видимому, абсолютно бессмысленны», – поясняет Лукаш Штефанко.
Помимо своего нетрадиционного механизма распространения, в своем шифровании семейство Android/Filecoder.C имеет несколько аномалий. Оно исключает большие архивы (более 50 МБ) и небольшие изображения (до 150 КБ), а в его списке «типов файлов для шифрования» содержится множество записей, не связанных с Android, но при этом в нем отсутствуют некоторые расширения, типичные для Android. «Очевидно, что список был скопирован с пресловутой программы-вымогателя WannaCry», – отмечает Штефанко.
Есть и другие интригующие элементы неортодоксального подхода, который использовали разработчики этой вредоносной программы. В отличие от типичной программы-вымогателя для Android, Android/Filecoder.C не препятствует пользователю получить доступ к устройству, блокируя экран. Кроме того, выкуп не имеет жестко заданного значения; вместо этого сумма, которую злоумышленники запрашивают в обмен на обещание расшифровать файлы, создается динамически с использованием идентификатора пользователя, назначенного вымогателем конкретной жертве. В результате этого процесса сумма выкупа оказывается уникальной – в диапазоне 0,01–0,02 биткойна.
«Прием с уникальным выкупом является новшеством: мы никогда не видели его ранее ни в одной из программ-вымогателе из экосистемы Android, –говорит Штефанко:– Вероятно, идея в том, чтобы назначать выплаты жертвам. Обычно эта задача решается путем создания уникального биткойн-кошелька для каждого зашифрованного устройства. В этой кампании мы видели использование только одного биткойн-кошелька».
По словам Лукаша Штефанко, пользователи с устройствами, защищенными ESET Mobile Security, избавлены от этой угрозы. «Они получают предупреждение о вредоносной ссылке; если они проигнорируют предупреждение и загрузят приложение, решение по безопасности заблокирует его».
Это открытие показывает, что программа-вымогатель по-прежнему представляет угрозу для мобильных устройств Android. Чтобы защититься, пользователи должны придерживаться основных принципов безопасности:
- Поддерживать свои устройства в актуальном состоянии; в идеале – для обеспечения своей безопасности установите для них автоматические исправления и обновления.
- По возможности пользоваться Google Play или другими уважаемыми магазинами приложений. Эти площадки могут быть не полностью защищены от вредоносных приложений, но у вас есть неплохие шансы не стать их жертвой.
- Перед установкой любого приложения проверять его рейтинги и отзывы о нем. Обращайте внимание на отрицательные, поскольку они часто оставлены легитимными пользователями, в то время как положительные отзывы часто создаются злоумышленниками.
- Обращать внимание на разрешения, запрашиваемые приложением. Если они не соответствуют функциям приложения, не загружайте его.
- Для защиты своего устройства использовать надежное мобильное решение безопасности.
Для получения дополнительной информации читайте блог We Live Security.
