Новая модификация вымогателя, заимствующего GUI-интерфейс WannaCry, умеет не только шифровать файлы, но также собирать данные об активности владельцев мобильных устройств и воровать финансовую информацию.

В настоящее время многофункциональная версия WannaLocker, как его называют в Avast, атакует только клиентов бразильских банков, однако эксперты предупреждают, что обновленный троян способен составить серьезную угрозу для Android-устройств по всему миру.

Вымогатель WannaLocker больше известен под другим именем — SLocker. Этот Android-зловред впервые появился в Интернете лет пять назад, но тогда он еще не шифровал файлы, а блокировал экран и от имени ФБР предлагал уплатить «штраф» — якобы за просмотр запрещенного контента. Необходимая для шифрования функциональность в коде присутствовала, но на тот момент не использовалась; некоторые варианты SLocker вместо шифрования пытались прятать файлы от пользователя.

Прошло немного времени, и троян вполне ожидаемо начал шифровать данные на SD-картах мобильных устройств, создавая индивидуальные ключи AES в каждом случае заражения. Для связи с командным сервером SLocker, он же SMSLocker и FBILocker, обычно использовал SMS-каналы, реже — сеть Tor.

После громкого дебюта WannaCry авторы мобильного зловреда, в очередной раз обновляя свое детище, скопировали интерфейс, предоставляемый жертвам в ходе WannaCry-кампании. Новый вариант SLocker распространялся в основном под видом читов к популярным в Китае играм, выводил сообщения на китайском языке и требовал выкуп в юанях.

Новоиспеченный шифровальщик привлек внимание Avast, и в компании стали его отслеживать под именем WannaLocker. С появлением версии с дополнительными возможностями название пришлось изменить — свою находку эксперты нарекли WannaHydra.

Как оказалось, этот зловред представляет собой гибрид WannaLocker, инструмента удаленного администрирования AhMyth и кастомного банковского трояна.

Каким образом он распространяется, пока не установлено. Исследователи полагают, что это происходит через вредоносные ссылки или загрузку приложений из сомнительных источников.

Реализуя шпионские функции, WannaHydra собирает разнообразную информацию: данные зараженного устройства, номер телефона, SMS-сообщения, записи о звонках, список контактов, данные о местоположении, аудио- и видеозаписи.

В качестве банкера зловред показывает пользователю сообщение о проблеме с аккаунтом и предлагает фишинговую страницу для входа. В настоящее время WannaHydra интересуют счета в бразильских банках Itaú Unibanco, Banco do Brasil и Santander.

https://twitter.com/virqdroid/status/1144189572068327424

Прежние функции шифровальщика в коде зловреда заложены, у него даже есть шаблон сообщения с требованием выкупа, однако анализ показал, что разработка в этом направлении еще не закончена.

Категории: Аналитика, Вредоносные программы, Главное