Преди няколко дни открихме нещо (очаквано, но все пак) стряскащо – троянец за мобилни устройства, който криптира част от информацията на смартфона или таблета и иска откуп за декриптирането ѝ. В противен случай – просто изтрива всичко. Преди почти година разкрихме първите подобни вируси за смартфони. Тогава ставаше въпрос за хибрид между приложение, представящо се за антивирусно решение, наречено Android Defender. За съжаление обаче, то не правеше нищо по-различно от вирус, заключващ дисплея на устройството и изискващ откуп. Вирус, от който можеше да се отървем относително лесно, като рестартираме телефона в т.нар. Safe mode. Тази заплаха ще бъде засечена от вашия ESET Mobile Security за Android под името Android/FakeAV. Преди около месец блогът Malware don’t need Coffee (Вирусите нямат нужда от кафе) съобщи за вирус, който буквално представлява еволюционна стъпка от Windows към Android на фамилията Win32/Filecoder (позната повече като Cryptolocker). Тогавашният вирус обаче (засичан от продуктите на ESET като Android/Koler) нямаше нищо общо нито с Cryptolocker, нито пък изобщо криптираше информация на мобилното устройство. И така до миналия уикенд, когато анализаторите на ESET разкриха Android/Simplocker. Веднага след като бъде инсталиран на някое нещастно Android устройство, този вирус сканира SD картата му за определени видове файлове, криптира ги и иска откуп за декриптирането им. А сега с подробности. След стартирането си, троянецът показва съобщение, в което иска откуп, докато криптира файловете: Съобщението е написано на руски език, а плащането трябва да бъде извършено в украински гривни. Това ни навежда на мисълта, че заплахата е насочена най-вече към този географски регион. Това не е и изненада, предвид факта, че първите SMS троянци (включително и Android/Fakeplayer) от 2010 г., идваха именно от Русия и Украйна. Преводът на текста (грубо) е: ВНИМАНИЕ телефонът ти е заключен! Това устройство е заключено заради гледането и разпространението на детска порнография, зоофилия и други перверзии. За да го отключите, трябва да платите 26п UAH. 1. Намерете най-близкия банкомат2. Изберете MoneXy3. Въведете {REDACTED}.4. Направете вноска от 260 гривни и натиснете „плати“Не забравяйте касовата бележка! След плащането устройството ви ще бъде отключено до 24 часа. Ако не платите, ще загубите цялата информация на него. Както се вижда, вирусът иска плащането да бъде извършено през системата MoneXy. Причината за това е, че проследяването на преводите през нея е доста трудно. Откупът от 260 гривни се равнява на 32-33 лв. Android/Simplocker.A сканира SD картата за файлове, които са със следните разширения за изображение, документ или видео: jpeg, jpg, png, bmp, gif, pdf, doc, docx, txt, avi, mkv, 3gp, mp4 и ще ги криптира чрез AES. Android/Simplocker.A ще се свърже и с командния си сървър, за да му изпрати информация за идентификация на устройството (като IMEI например). Интересното тук е, че командният сървър е хостнат на .onion домейн, за да се предпази анонимността на създателя му. Както ще видите на горния екран, няма поле за въвеждане на код, с който да се удостовери плащането на откупа. Подобна практика беше актуална и при първите вируси, искащи откуп за PC. Вместо код за верификация, вирусът „слуша“ командния си сървър за команда – най-вероятно издавана след потвърждение за получено плащане – след което освобождава информацията. Анализираният от нас код зарази устройството ни след инсталиране на приложението ‘Sex xionix’. То не може да бъде намерено в официалния Google Play магазин. Според нас, разпространението му в момента е доста слабо.
Анализът на Android/Simplock.A обаче показва, че най-вероятно става въпрос за бета версия на вирус, по който все още има работа. Например, имплементацията на криптирането на информацията не сработва кой знае колко добре. Всъщност, тя дори не се доближава до тази на Cryptolocker за Windows. Но пък наличието на Android/Simplock.A е достатъчен повод за притеснение. Затова – прочетете тези няколко съветаза предпазване от подобна зараза. И свалете ESET Mobile Security за Android още сега.