На прошлой неделе наша антивирусная лаборатория обнаружила интересный образец вредоносного кода для Android. Он представляет из себя вымогатель (ransomware) для устройств под управлением Android, который шифрует файлы пользователя, а потом требует денежный выкуп за их расшифровку. Такой тип вымогателей является широко распространенным явлением в мире Windows. Злоумышленники шифруют файлы пользователя, а затем блокируют рабочий стол с требованием выкупа.



Вредоносная программа была добавлена в наши базы как Android/Simplocker. После заражения устройства, она проверяет карту памяти на предмет присутствия там определенных типов файлов, далее шифрует их и блокирует доступ к устройству с сообщением о выкупе. Simplocker производит свои операции аналогично тому, как это делают вымогатели для Windows.

Ранее мы писали про новый вариант вымогателя для Android, который шифрует файлы пользователя и называется Simplocker. Теперь у нас появилась дополнительная информация о других вариантах этой вредоносной программы. Эти обнаруженные модификации различаются друг от друга по следующим признакам.

• Использование Tor. Некоторые модификации используют обычные домены для связи с C&C, другие используют домены .onion, которые принадлежат Tor.
• Различные пути передачи команды «decrypt», которая сигнализирует о факте получения выкупа злоумышленниками.
• Различный интерфейс окон с информацией о выкупе, а также различные валюты для его оплаты (украинская гривна и российский рубль).
• Использование снимков камеры. Некоторые модификации Simplocker добавляют в интерфейс окна вымогателя фотографию владельца телефона, которая была сделана на встроенную камеру.

В прошлом месяце мы писали про появление новых модификаций шифровальщика Simplocker для Android. Злоумышленники изменили некоторые особенности поведения вредоносной программы, а также векторы ее распространения. На прошлой неделе мы обнаружили новые модификации этой вредоносной программы (обнаруживается как Android/Simplocker.I), в которых были добавлены несколько значительных усовершенствований.



Первое изменение, которое бросается в глаза, представляет из себя текстовое сообщение вымогателя. Оно теперь отображается на английском языке. Через это сообщение жертву запугивают и вымогают денежные средства, аргументируя это тем, что устройство было заблокировано правоохранительными органами, а точнее ФБР, после того как на нем был обнаружен незаконный контент в виде детской порнографии. Такие обложки вымогателей не являются редкостью в мире Windows. Сумма выкупа теперь составляет $300 (в отличие от предыдущих 260 гривен, что соответствует 16 евро или $21). Изменился также и способ оплаты, теперь он должен осуществляться с помощью сервиса MoneyPak. Как и в предыдущих версиях Simplocker, в этой версии злоумышленники продолжили использовать снимки камеры смартфона при отображении сообщения о выкупе.