Simplocker, prvi kripto-malver za Android, se vratio sa novom verzijom, mnogo opasnijom od prethodnih

Opisi virusa, 13.02.2015, 10:20 AM

Simplocker, prvi kripto-malver za Android, se vratio sa novom verzijom, mnogo opasnijom od prethodnih

Prvi kripto-malver za Android Simplocker je evoluirao, a sa novom verzijom malvera koju su otkrili istraživači Avasta povratak šifrovanih fajlova u prvobitno stanje nije više lak kao što je nekad bio.

Simplocker su istraživači Kaspersky Laba otkrili u junu prošle godine. Od tada se pojavilo nekoliko verzija malvera ali takvih da je stručnjacima uspevalo da u relativno kratkom roku pronađu “antidot” za ovaj malver.

Prva verzija malvera bila je namenjena korisnicima iz Rusije i Ukrajine, ali mesec dana kasnije pojavila se i verzija malvera prilagođena većem tržištu, koja se žrtvama obraćala na engleskom jeziku.

Simplocker je prvi pravi mobilni ransomware koji zaista šifruje fajlove, dok su ostali malveri koji su predstavljani kao mobilni ransomwarei samo tvrdili da to rade pokušavajući da zastraše korisnike i nateraju ih da plate kriminalcima.

Prvobitna verzija koristila je jedan enkripcioni ključ za sve žrtve koji je bio hardkodovan u malveru, ali najnovija verzija malvera šifruje fajlove tako da za svaki uređaj postoji poseban ključ, što značajno otežava dešifrovanje fajlova sa zaraženog uređaja.

Prema podacima Avasta, nova verzija malvera je do sada inficirala uređaje više od 5000 korisnika. Svi oni su na prevaru instalirali malver predstavljen kao aplikacija Flash Player i sakriven u malicioznim reklamama na sumnjivim sajtovima. Ove reklame su upozoravale korisnike da moraju da instaliraju Flash Player da bi mogli da gledaju video snimke.

Kada bi žrtva kliknula na reklamu, maliciozni program bi bio preuzet, a korisnik obavešten o instalaciji aplikacije Flash Player. Android, po defaultu, blokira instalaciju aplikacija sa nezvaničnih marketa, a korisnik uređaja se obaveštava da je instalacija blokirana zbog bezbednosnih razloga.

Korisnici bi trebalo da poslušaju Android, ali to nije uvek slučaj jer uvek imaju mogućnost da u postavkama dozvole preuzimanje aplikacija sa nepoznatih sajtova.

Kada se instalira aplikacija Flash Player pojavljuje se ikona na ekranu uređaja, i kada se klikne na nju, Flash Player zahteva od korisnika adminsitratorska prava. Tu počinju nevolje.

Malver koristi društveni inženjering da ubedi žrtvu da plati za otključavanje uređaja i dešifrovanje fajlova. Aplikacija pokušava da zastraši žrtvu obaveštenjem koje je navodno obaveštenje američkog FBI, tvrdeći da su na uređaju pronađeni sumnjivi fajlovi i optužujući korisnika za kršenje autorskih prava. Malver traži od žrtve da plati 200 dolara za dešifrovanje fajlova.

Osim šifrovanja fajlova i zahteva da korisnik plati za dešifrovanje, malver šalje sledeće podatke svom serveru za komandu i kontrolu: BUILD_ID, AFFILIATE_AD, IMEI, podatke o verziji operativnog sistema, podatke o operateru, broj telefona i podatak o zemlji u kojoj se nalazi korisnik.

Iz Avasta ne savetuju žrtvama da plaćaju kriminalcima. S obzirom da za sada nema rešenja, stručnjaci Avasta predlažu korisnicima da u slučaju infekcije najnovijom verzijom malvera, naprave backup šifrovanih fajlova povezujući smart telefon sa računarom. To neće naškoditi računaru, a na taj način žrtve mogu sačuvati fajlove i sačekati da se pojavi rešenje za njihovo dešifrovanje.

Zatim u Safe modeu, u administratorskim podešavanjima treba ukloniti malicioznu aplikaciju i deinstalirati aplikaciju iz menadžera aplikacija.

Iako Google Play nije imun na pojavu malvera, trebalo bi u podešavanjima uređaja onemogućiti instalaciju aplikacija iz nepoznatih izvora. To će sprečiti napade ransomwarea kao što je Simplocker.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi trojanac ToxicEye koristi aplikaciju Telegram za špijuniranje i krađu podataka korisnika

Novi trojanac ToxicEye koristi aplikaciju Telegram za špijuniranje i krađu podataka korisnika

Sajber kriminalci sve češće zloupotrebljavaju Telegram za kontrolu i upravljanje malverima i krađu informacija sa ciljanih sistema. ToxicEye je no... Dalje

Sajber kriminalci koriste kontakt forme na veb sajtovima za širenje trojanca IcedID

Sajber kriminalci koriste kontakt forme na veb sajtovima za širenje trojanca IcedID

Istraživači iz kompanije Microsoft upozorili su na novu fišing kampanju u kojoj napadači koriste obrasce za kontakt (“Kontaktirajte nas&rdqu... Dalje

Novi malver CopperStealer krade Google, Facebook i Apple naloge

Novi malver CopperStealer krade Google, Facebook i Apple naloge

Istraživači kompanije Proofpoint otkrili su malver koji se distribuira preko sajtova na kojima se nudi nelegalni piratski softver, a koji cilja kori... Dalje

30000 Mac računara inficirano novim malverom Silver Sparrow

30000 Mac računara inficirano novim malverom Silver Sparrow

Novi malver Silver Sparrow inficirao je 30000 Mac računara. Malver su otkrili istraživači iz firme Red Canary koji su ga analizirali zajedno sa ist... Dalje

Otkriven prvi malver koji napada isključivo Appleov novi M1 čip

Otkriven prvi malver koji napada isključivo Appleov novi M1 čip

Bivši istraživač NSA Patrik Vordl otkrio je malver koji je dizajniran za napade na računare sa Appleovim novim M1 čipom, koji se koristi na najno... Dalje