Simplocker: Prvi ransomware za Android koji šifruje fajlove na uređaju

Mobilni telefoni, 05.06.2014, 09:31 AM

Simplocker: Prvi ransomware za Android koji šifruje fajlove na uređaju

Ransomware je vrsta malvera koji zaključavaju računare i traže od korisnika da plate da bi ponovo mogli da ih koriste. U nekim slučajevima, ransomware može prouzorkovati i mnogo veće probleme šifrujući fajlove na hard disku zaraženog sistema. Bilo je samo pitanje vremena kada će se pretnja koja godinama zadaje glavobolje korisnicima računara pojaviti i na mobilnim telefonima.

Pre godinu dana stručnjaci Symanteca otkrili su Android Defender, prvi malver za Android koji kombinuje karakteristike lažnog antivirusa i ransomwarea, zaključavajući ekran ali bez šifrovanja fajlova.

Prošlog meseca otkriven je ransomware za Android koji je delo kriminalne grupe Reveton koja razvija i distribuira istoimeni ransomware za Windows računare. Ovaj malver koristi taktiku takozvanih policijskih malvera, optužujući korisnika da je gledao/čuvao i/ili distribuirao zabranjeni pornografski sadržaj i da je time prekršio zakon zbog čega mu je telefon blokiran a svi fajlovi na uređaju šifrovani. Malver blefira jer ustvari ne šifruje fajlove.

Međutim, pretnje novog malvera za Android koga su ovog vikenda otkrili stručnjaci kompanije ESET nisu lažne. Trojanac nazvan Android Simplocker skenira SD karticu tražeći određenu vrstu fajlova koje zatim šifruje i zahteva od korisnika da plati za dešifrovanje fajlova.

Dakle, Simplocker je prvi pravi kripto-malver za Android.

Posle pokretanja, Trojanac će prikazati obaveštenje i u pozadini šifrovati fajlove.

Obaveštenje je na ruskom a kriminalci u njemu traže da korisnik dešifrovanje fajlova isplati ukrajinskom valutom. Sudeći po tome, ovaj malver očigledno cilja na korisnike Androida iz tog regiona. To nije neobično, jer je taj region i ranije bio probni poligon za mnoge malvere za Android, uključujući i prve Android SMS Trojance kao što je Fakeplayer, koji je je prvi put pronađen u Rusiji i Ukrajini 2010. godine.

“UPOZORENJE vaš telefon je zaključan!
Uređaj je zaključan zbog gledanja i distribucije dečije pornografije, zoofilije i drugih perverzija.
Moraćete da platite 260 ukrajinskih grivni.
1. Nađite najbliži kiosk.
2. Nađite MoneXy.
3. Unesite [ ]
4. Unesite 260 grivni i zatim pritisnite plati. (260 grivni je oko 16 evra)
Ne zaboravite da uzmete priznanicu!
Posle plaćanja vaš uređaj će biti otključan u roku od 24 časa.
U SLUČAJU DA NE PLATITE IZGUBIĆETE SVE PODTKE NA VAŠEM UREĐAJU!”

To je tekst upozorenja koje korisnik vidi na ekranu mobilnog telefona.

Malver traži od žrtava da za plaćanje koriste MoneXy servis jer će tako kriminalci lakše prikriti tragove nego kada bi korisnik koristio običnu kreditnu karticu.

Android/Simplock.A na SD kartici traži fajlove sa ekstenzijama jpeg, jpg, png, bmp, gif, pdf, doc, docx, txt, avi, mkv, 3gp, mp4, dakle slike, dokumente i video fajlove koje će potom šifrovati koristeći AES.

Malver kontaktira komandno-kontrolni server i šalje informacije o uređaju. C&C server se hostuje na TOR.onion domenu zbog zaštite komunikacije i identiteta kriminalaca.

Zanimljivo je da nema polja za unos koda kojim bi korisnik potvrdio uplatu, kao što je to obično slučaj sa ransomwareima za Windows. Umesto toga, malver dobija komandu, verovatno pošto je uplata obavljena, da dešifruje fajlove.

Malver dolazi u obliku aplikacije “Sex xionix”, koja nije pronađena na Google Play, tako da stručnjaci procenjuju da je prevalancija infekcije ovim malverom još uvek relativno niska.

Posle analize malvera, stručnjaci ESET-a su zaključili da je Android/Simplock.A verovatno samo probni malver ili da se na njegovom razvoju još uvek radi, jer implementacija enkripcije nije ni blizu one koju ima ozloglašeni Cryptolocker za Windows.

Ipak, malver je u potpunosti osposobljen za šifrovanje fajlova korisnika koji mogu biti izgubljeni zauvek ukoliko ih kriminalci ne dešifruju. Iako je malver zaista osposobljen da dešifruje fajlove, stručnjaci su protiv plaćanja, ne samo zato što će to motivisati i ohrabriti druge autore malvera da razvijaju i distribuiraju slične malvere, već i zbog toga što niko ne garantuje da će kriminalci poštovati dogovor i zaista dešifrovati fajlove pošto korisnik plati tu “uslugu”.

Umesto dileme platiti ili ne, korisnicima se savetuje da se usresrede na prevenciju ovakvih infekcija. To podrazumeva antivirusno rešenje za Android, izbegavanje nepouzdanih aplikacija i sajtova koji ih nude, a u slučaju da je šteta već učinjena, najbolje rešenje je oporavak fajlova uz pomoć rezervne kopije. Sa navikom da redovno pravite backup svojih fajlova na Androidu, Windowsu ili nekom drugom operativnom sistemu, ovakvi malveri zbog kojih vaše dragocene uspomene - slike i video snimci, kao i dokumenti mogu biti zauvek izgubljeni, postaju samo manja neprijatnost.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Android malver koji se koristi za sajber-špijunažu širi se sakriven u aplikaciji za chat

Android malver koji se koristi za sajber-špijunažu širi se sakriven u aplikaciji za chat

Istraživači kompanije TrendMicro otkrili su malver za Android uređaje koji je nazvan CallerSpy, za koji se veruje da se koristi za sajber-špijuna... Dalje

iPhone 11 Pro prikuplja podatke o lokaciji korisnika čak i kada korisnici to onemoguće

iPhone 11 Pro prikuplja podatke o lokaciji korisnika čak i kada korisnici to onemoguće

iPhone 11 Pro sa pojedinačno onemogućenim praćenjem lokacije za sve aplikacije i sistemske usluge ipak nastavlja da prikuplja informacije o lokac... Dalje

Zbog veza aplikacije sa Rusijom, Amerikanci pozvani da deinstaliraju FaceApp sa svojih uređaja

Zbog veza aplikacije sa Rusijom, Amerikanci pozvani da deinstaliraju FaceApp sa svojih uređaja

FaceApp, mobilna aplikacija koja omogućava korisnicima da prave selfije a od njih prave starije verzije sebe, smatra se „potencijalnom kontraob... Dalje

Android ima opasan bag koji već koriste na desetine malicioznih aplikacija da bi od korisnika ukrale novac i lozinke

Android ima opasan bag koji već koriste na desetine malicioznih aplikacija da bi od korisnika ukrale novac i lozinke

U operativnom sistemu Android otkrivena je nova opasna ranjivost koja omogućava malverima da se predstavljaju kao legitimne aplikacije tako da korisn... Dalje

Indija traži reviziju WhatsAppa zbog špijuniranja korisnika

Indija traži reviziju WhatsAppa zbog špijuniranja korisnika

Indijska vlada želi da izvrši reviziju sigurnosnih sistema WhatsAppa nakon otkrića da je špijunski softver Pegasus iskoristio ranjivosti platform... Dalje