Блокировщики и энкодеры для платформы Android

--> Дата: Июн 25, 2014 45

По сообщению компании «Доктор Web», после выявления первого в истории энкодера для мобильной платформы Android (Антивирус Dr.Web для Android начал детектировать его 22 мая нынешнего года) уже к середине июня ассортимент таких программ-вымогателей, угрожающих пользователям Android, заметно расширился.

Первым представителем этого класса угроз стал троянец-шифровальщик Android.Locker.2.origin, способный заражать устройства, работающие под управлением ОС Android. Согласно статистике компании «Доктор Web», начиная с 22 мая, когда запись для новой вредоносной программы была впервые добавлена в вирусные базы, Антивирус Dr.Web для Android предотвратил более 21 тыс. случаев заражения этим троянцем.

Запустившись на инфицированном мобильном устройстве, Android.Locker.2.origin находит хранящиеся на сменных картах смартфона или планшета файлы с расширениями .jpeg, .jpg, .png, .bmp, .gif, .pdf, .doc, .docx, .txt, .avi, .mkv, .3gp, после чего шифрует их, добавляя к каждому файлу расширение .enc. Затем экран мобильного устройства блокируется и на него выводится сообщение с требованием заплатить выкуп за расшифровку файлов. От действий троянца могут пострадать хранящиеся на сменных картах мобильного устройства фотографии, видео и документы. Кроме того, энкодер похищает и передает на сервер злоумышленников информацию об инфицированном устройстве (включая, например, идентификатор IMEI). Для шифрования используется алгоритм AES, а управляющий сервер вредоносной программы расположен в сети TOR на ресурсе с псевдодоменом .onion, что обеспечивает злоумышленникам высокий уровень скрытности.

Троянец Android.Locker.5.origin ориентирован в первую очередь на пользователей из Китая. Судя по некоторым признакам, вирусописатели разрабатывали его не с целью заработка, а просто желая подшутить над незадачливыми жертвами. После запуска Android.Locker.5.origin блокирует мобильное устройство и демонстрирует на его экране сообщение о том, что данное приложение позволит заблокированному телефону «немного отдохнуть», а в нижней части окна располагается таймер, отсчитывающий 24 часа, — по истечении этого времени мобильное устройство автоматически разблокируется. Android.Locker.5.origin использует системные функции Android для проверки статуса своего процесса, автоматически перезапускает его в случае остановки и предотвращает попытки запуска на устройстве других приложений, что значительно затрудняет возможность удаления этого троянца. В остальном у Android.Locker.5.origin нет функционала, позволяющим зашифровать или удалить файлы на инфицированном планшете или смартфоне.

В июне семейство троянцев-вымогателей для Android пополнилось угрозами Android.Locker.6.origin и Android.Locker.7.origin – эти вредоносные программы ориентированы на американских пользователей. Они так же блокируют экран мобильного устройства и требуют у жертвы выкуп за его разблокировку. Данные программы распространяются под видом проигрывателя Adobe Flash и в момент установки требуют у пользователя предоставить приложению права администратора. Затем троянец имитирует сканирование устройства и блокирует экран, на который выводится сообщение об обнаружении якобы незаконного контента. За разблокировку троянец требует заплатить 200 долл. с использованием платежной системы MoneyPack.

В процессе установки вредоносные программы Android.Locker.6.origin и Android.Locker.7.origin проверяют наличие на инфицированном устройстве следующих приложений:

com.usaa.mobile.android.usaa;
com.citi.citimobile;
com.americanexpress.android.acctsvcs.us;
com.wf.wellsfargomobile;
com.tablet.bofa;
com.infonow.bofa;
com.tdbank;
com.chase.sig.android;
com.bbt.androidapp.activity;
com.regions.mobbanking.

В случае их обнаружения троянец отправляет информацию об этом на принадлежащий злоумышленникам сервер. Кроме того, Android.Locker.6.origin и Android.Locker.7.origin похищают данные из адресной книги на устройстве (имя контакта, номер телефона и электронную почту), отслеживают входящие и исходящие вызовы и могут их блокировать. Вся собранная информация, в том числе о телефонных звонках, также передается на управляющий сервер.

Вредоносные программы Android.Locker.2.origin, Android.Locker.5.origin, Android.Locker.6.origin и Android.Locker.7.origin распознаются и удаляются Антивирусом Dr.Web для Android при попытке проникновения на защищаемое устройство.