Вымогатель ElGato атакует Android-устройства

Вымогательское ПО является настоящим трендом в киберпреступной среде, и от таких атак страдают отнюдь не только пользователи десктопных систем. Специалисты компании McAfee обнаружили вымогателя ElGato, который нацелен на устройства на базе Android. Как ни странно, это не обычный блокировщик экрана и не scareware, запугивающая пользователей.

ElGato — полноценный шифровальщик, который также способен похищать личную информацию жертв. Исследователи сообщают, что малварь обладает хорошим потенциалом для создания ботнета, а управляющие серверы вредоноса работают на базе легитимного провайдера облачного хостинга. С C&C-сервером ElGato связывается посредством HTTP, безо всякого шифрования, так что все команды и данные передаются открыто.

Среди возможностей малвари были перечислены умением перенаправлять и удалять SMS-сообщения пострадавших, отправлять сообщения с зараженного устройства, шифровать файлы на SD-карте или файлы в конкретных директориях. После шифрования малварь изменяет расширения файлов на .enc. 

За расшифровку данных операторы вредоноса, разумеется, могут потребовать выкуп, блокируя экран устройства вымогательским сообщением. После того как жертва заплатит, малварь также выступит в роли дешифровальщика. Впрочем, эксперты пишут, что пока ElGato не показывает сообщение с требованием выкупа и не просит денег, вместо этого экран устройства блокируется бессмысленной картинкой с котом. Дело в том, что El Gato — это «кот» по-испански, передает xakep.ru.

Так как малварь сообщается с управляющим сервером через HTTP, исследователи смогли отследить C&C-сервер злоумышленников и были немало удивлены, обнаружив там незащищенную паролем панель управления (да еще и на русском языке).

«Этот вариант вымогателя похож на демо-версию, которая используется киберпреступниками для коммерциализации, так как интерфейс управляющего сервера не защищен, а в коде содержатся фразы вроде MyDificultPassw, — сообщают эксперты McAfee. — McAfee Labs уже проинформировала владельцев взломанных серверов и попросила их пресечь вредоносную активность».