Тренд сезона — блокировщики и энкодеры под Android

[AM_Bot 48]

20 июня 2014 года

Еще в 2011 году специалисты компании «Доктор Веб» предрекали появление, а также широкое распространение программ-вымогателей для мобильной платформы Google Android, и спустя без малого три года этот прогноз сбылся. 22 мая 2014 года Антивирус Dr.Web для Android начал детектировать первый в истории энкодер для данной мобильной платформы, и уже к середине июня ассортимент программ-вымогателей, угрожающих пользователям Android, заметно расширился.

Первым представителем подобного класса угроз стал троянец-шифровальщик Android.Locker.2.origin, способный заражать устройства, работающие под управлением ОС Android. Согласно имеющейся у компании «Доктор Веб» статистике, начиная с 22 мая 2014 года, когда запись для этой вредоносной программы была впервые добавлена в вирусные базы, Антивирус Dr.Web для Android предотвратил более 21 276 случаев заражения мобильных устройств троянцем Android.Locker.2.origin. Для пользователей смартфонов и планшетов под управлением ОС Google Android, не защищенных антивирусным ПО, Android.Locker.2.origin представляет чрезвычайно высокую опасность. Запустившись на инфицированном мобильном устройстве, данная вредоносная программа находит хранящиеся на сменных картах смартфона или планшета файлы с расширениями .jpeg, .jpg, .png, .bmp, .gif, .pdf, .doc, .docx, .txt, .avi, .mkv, .3gp, после чего шифрует их, добавляя к каждому файлу расширение .enc. Затем экран мобильного устройства блокируется и на него выводится сообщение с требованием заплатить выкуп за расшифровку файлов.

От действий троянца могут пострадать хранящиеся на сменных картах мобильного устройства фотографии, видео и документы. Кроме того, энкодер похищает и передает на сервер злоумышленников различную информацию об инфицированном устройстве (включая, например, идентификатор IMEI). Для шифрования используется алгоритм AES, а управляющий сервер данной вредоносной программы расположен в сети TOR на ресурсе с псевдодоменом .onion, что позволяет злоумышленникам обеспечивать высокий уровень скрытности.

В отличие от других аналогичных вредоносных программ, троянец Android.Locker.5.origin ориентирован в первую очередь на пользователей из Китая. Судя по некоторым признакам, вирусописатели разрабатывали его не с целью заработка, а просто ради хохмы, желая подшутить над незадачливыми жертвами. После своего запуска Android.Locker.5.origin блокирует мобильное устройство и демонстрирует на его экране следующее сообщение:

В тексте говорится о том, что данное приложение позволит заблокированному телефону «немного отдохнуть», а в нижней части окна располагается таймер, отсчитывающий 24 часа, — по истечении этого времени мобильное устройство автоматически разблокируется. Android.Locker.5.origin использует системные функции Android для проверки статуса своего процесса, автоматически перезапускает его в случае остановки и предотвращает попытки запуска на устройстве других приложений, что значительно затрудняет возможность удаления этого троянца. В остальном Android.Locker.5.origin не располагает каким-либо опасным вредоносным функционалом, позволяющим зашифровать или удалить файлы на инфицированном планшете или смартфоне.

В июне семейство троянцев-вымогателей для Android пополнилось угрозами, получившими наименования Android.Locker.6.origin и Android.Locker.7.origin, — под этими именами скрываются ориентированные на американских пользователей вредоносные программы, блокирующие экран мобильного устройства и требующие у жертвы выкуп за его разблокировку. Данные программы распространяются под видом проигрывателя Adobe Flash и в момент установки требуют у пользователя предоставить приложению права администратора.

Затем троянец имитирует сканирование устройства и блокирует экран, на который выводится сообщение об обнаружении якобы незаконного контента.

За разблокировку устройства троянец требует заплатить 200 долларов с использованием платежной системы MoneyPack.

В процессе своей установки вредоносные программы Android.Locker.6.origin и Android.Locker.7.origin проверяют наличие на инфицированном устройстве следующих приложений:

• com.usaa.mobile.android.usaa;
• com.citi.citimobile;
• com.americanexpress.android.acctsvcs.us;
• com.wf.wellsfargomobile;
• com.tablet.bofa;
• com.infonow.bofa;
• com.tdbank;
• com.chase.sig.android;
• com.bbt.androidapp.activity;
• com.regions.mobbanking.

В случае их обнаружения троянец отправляет информацию об этом на принадлежащий злоумышленникам сервер. Также Android.Locker.6.origin и Android.Locker.7.origin похищают на зараженном устройстве данные из адресной книги (имя контакта, номер телефона и email), отслеживают входящие и исходящие вызовы и могут их блокировать. Вся собранная информация, в том числе о телефонных звонках, также передается на управляющий сервер.

Вредоносные программы Android.Locker.2.origin, Android.Locker.5.origin, Android.Locker.6.origin и Android.Locker.7.origin распознаются и удаляются Антивирусом Dr.Web для Android при попытке проникновения на защищаемое устройство. Специалисты компании «Доктор Веб» напоминают, что самый надежный способ предотвратить заражение этими опасными троянскими программами — использование современного надежного антивирусного ПО.

Источник

[priv8v 960]

есть какая-то правильная инфа о борьбе руками с локерами? вдруг притащат мне такой девайс...

в аналогичной статье на хабре от нода одним из векторов распространения указаны уязвимости. кто-то может рассказать подробнее?

[B . 90]

Если говорить конкретно о распространении, то под уязвимостями может пониматься, например, Master Key (некорректная обработка дублирующихся файлов внутри .apk-пакета), Name Length Field или Extra Field. Но вообще, андроидные локеры, насколько мне известно, в большинстве случаев распространяются под видом легитимного софта (всяких обновлений оперы и flаsh-плееров), то есть, пользователь ставит их руками. Пока самый очевидный способ борьбы с этой напастью - откат телефона к заводским настройкам.