ESET: новый шифратор для Android распространяется через порногруппы

Международная антивирусная компания ESET обнаружила новую программу-вымогатель Android/Filecoder.C, нацеленную на пользователей Android-устройств.

Злоумышленники распространяли вредоносные ссылки и QR-коды в подразделах о порнографии на Reddit, а также на форуме для Android-разработчиков XDA Developers.

https://lh4.googleusercontent.com/sn5nB8GuCwOCXxt43mMnBWres4K9NOwJBzOPN5hTh8SG5NgFERCibNb8DwwtUJRXS3xMQbDSlIotO7QuiLnsjyGNcyc_KXP5VcLUWeBLwQjOcBeW88OY6wrg03K0DEKWmRFaOPOl

Пример постов на Reddit

Для сокрытия подозрительного адреса использовался портал bit.ly — сервис для создания коротких ссылок. 

После загрузки вредоносное приложение рассылает текстовые сообщения по всему списку контактов жертвы, подталкивая получателей кликнуть по ссылке и загрузить вредоносную программу. 

Сообщения составлены на 42 языках, однако внимательный пользователь заподозрит неладное — переводы не отличаются качеством, и зачастую SMS представляют собой бессмысленный набор слов.

https://lh5.googleusercontent.com/zDiWHEyDRxIzeD4z0LCGlBPYAkZaXcqzTYDlxD2FKHwKjBBGcXjiwKyTpDa5wYX6ljdekl7iiPwazOytad_8E4nbIaz8cvJAggo0kEY3ECn6QDszacPe3s1FLFYi9qCSXS6ZZto4

Пример SMS с вредоносной ссылкой 

После установки вредоносного приложения файлы на устройстве жертвы шифруются, а пользователь получает уведомление о необходимости заплатить выкуп — в противном случае все файлы якобы будут стерты спустя 72 часа. 

Впрочем, эксперты ESET не обнаружили в коде вымогателя команд на удаление файлов через какое-либо ограниченное время.  

https://lh5.googleusercontent.com/GJfL2SmgEwxTYvYOi4DqiwQPRd8s0HyiwkiVRap9fR0IPkzcNGTqtdibE1msZ7hf0Z3SuF7FsE62hNnrKpmwwuL58ERLLCJosaT_Qn3lSPgGVMFrHvTCOfZIsAhxCojVfDlEGtGA

 

Требование выкупа

 

Стоит отметить, что шифрование файлов выполнено сравнительно непрофессионально. Во-первых, программа не шифрует большие архивные файлы (более 50 Мб) и маленькие изображения (до 150 Кб).

Во-вторых, список распознаваемых программой расширений для шифрования выглядит необычно — в нем фигурируют типы файлов, никак не связанные с ОС Android. 

«Похоже, перечень расширений для шифрования скопирован со списка, который использовался в известной кампании WannaCry», — отмечает эксперт ESET Лукас Стефанко.

Примечательно, что каждой жертве шифратора назначается уникальная сумма выкупа в пределах 0,01-0,02 биткойна (от 6 до 12 тысяч. руб.) 

«Уникальная сумма выкупа является новшеством — мы никогда не встречали подобной модели вымогательства у Android-пользователей, — комментирует Лукас Стефанко. — В целом, обнаруженная кампания выглядит непрофессионально. Однако, если дистрибутив будет улучшен, эта программа-вымогатель может стать серьезной угрозой».

На момент публикации профили пользователей, распространявших Android/Filecoder.C на форуме XDA Developers, были удалены. Однако вредоносные ссылки на Reddit все еще доступны.  

Отметим, что пользователи антивирусного решения ESET NOD32 Mobile Security находятся под защитой — антивирус успешно детектирует угрозу и блокирует вредоносные ссылки.