Исследователь Кай Лю (Kai Lu) из Fortinet обнаружил новое семейство вымогательского ПО, нацеленного на Android. Блокер полностью закрывает доступ к экрану до тех пор, пока жертва не введет данные кредитной карты в специальном окне. Пока зловред атакует только русскоязычных пользователей и доступен только на русском языке. Он получил вердикт Android/Locker.FK!tr.

Хотя блокер выглядит просто как еще один вымогатель в веренице себе подобных, он тем не менее имеет ряд особенностей. Ключевое его отличие от собратьев — неадекватный размер выкупа. Зловред требует за разблокировку смартфона целых 545 тыс. рублей, что многократно выше стоимости любого, даже премиального устройства, и жертве выгоднее просто купить новый смартфон вместо того, чтобы разблокировать старый.

Второе отличие состоит в том, что жертве необходимо ввести номер кредитки прямо в поле на экране блокировки, тогда как другие вымогатели оперируют через биткойн-кошелек, анонимайзер Tor или даже подарочные карты.

И наконец, вымогатель использует для работы платформу Google Cloud Messaging (GCM) — сервис Google для разработчиков Android, созданный для разгрузки серверов. Разработчик может отправлять данные со своего сервера в GCM, который, в свою очередь, отправляет данные всем зарегистрированным пользователям. Этот механизм действует и в обратном направлении. Таким же образом разработчики вымогателя снимают нагрузку со своего командного сервера.

Связываясь с GCM, пораженные зловредом смартфоны регистрируются и получают уникальный идентификатор, который напрямую отправляется на командный сервер вымогателя. Чтобы доставить инструкции пострадавшим пользователям, злоумышленники просто распространяют их через GCM в виде PUSH-уведомлений. Операторы вымогателя могут посылать до 20 команд на зараженные хосты, в том числе команды блокировки и разблокировки устройства, добавления новых контактов в смартфон, кражи имеющихся контактов, отправки SMS-сообщений и обновления программного кода зловреда.

Скорее всего, блокер попадает в смартфон через сторонние магазины приложений и запрашивает права администратора. Чтобы избавиться от зловреда, необходимо перезагрузить устройство в безопасном режиме и удалить приложение.

Update. По словам эксперта “Лаборатории Касперского” Виктора Чебышева, данный Android-вымогатель в принципе не нов, “Лаборатория” детектирует его как Trojan-Ransom.AndroidOS.Small с ноября 2015 года. Использование облачного сервиса GCM Android-зловредами тоже уже наблюдалось, причем еще в 2013 году.

“В целом за два года мы зафиксировали 7174 попытки заразить наших пользователей этим зловредом, – комментирует Чебышев. – Это немного на фоне других популярных зловредов. Однако примечательна карта попыток заражений. Больше всего заражений в России, но есть попытки и по всему миру”.

KL - Trojan-Ransom.AndroidOS.Small.v geography

Категории: Аналитика, Вредоносные программы