Analitycy zagrożeń z firmy Eset przechwycili pierwszy w historii złośliwy program typu ransomware, szyfrujący pliki, który bierze na cel nie komputery, a smartfony i tablety z Androidem. Po zainfekowaniu zagrożenie szyfruje zdjęcia, dokumenty i filmy zapisane na karcie pamięci, zainstalowanej w urządzeniu. Odzyskanie dostępu do zaszyfrowanych danych możliwe jest jedynie po wcześniejszym spełnieniu żądania złośliwej aplikacji, czyli wpłaceniu stosownego okupu.

Simplocker - Android

Android/Simplocker, bo tak zagrożenie zostało oznaczone przez pracowników Esetu, przedostaje się na urządzenie z Androidem w zainfekowanej aplikacji. Nieświadomy niebezpieczeństwa użytkownik pobiera i uruchamia złośliwy plik, instalując w ten sposób Simplockera na swoim smartfonie lub tablecie. W chwilę po zainfekowaniu urządzenia, zagrożenie rozpoczyna skanowanie zainstalowanej w urządzeniu karty SD w poszukiwaniu konkretnych typów plików.

– Android/Simplocker szuka plików o rozszerzeniach jpeg, jpg, png, bmp, gif, pdf, doc, docx, txt, avi, mkv, 3gp, mp4, by następnie zaszyfrować je silnym algorytmem AES – mówi Kamil Sadkowski, analityk zagrożeń z firmy Eset. – O istnieniu zagrożenia użytkownik dowiaduje się wtedy, gdy szkodnik zaczyna wyświetlać na ekranie urządzenia komunikat o zaszyfrowaniu plików– dodaje Kamil Sadkowski.

W chwili, gdy użytkownik próbuje odczytać wspomniany komunikat z ekranu swojego urządzenia, zagrożenie szyfruje w tle pliki zapisane na karcie pamięci. Z informacji wyświetlanej przez Android/Simplockera wynika, że odszyfrowanie plików, a więc przywrócenie do nich dostępu, jest możliwe po wpłaceniu okupu w wysokości 260 ukraińskich Hrywien. Kamil Sadkowski z firmy Eset podkreśla, że zarówno język, w jakim wyświetlany jest komunikat, jak i waluta, w której należy wpłacić okup, wskazują, iż Android/Simplocker powstał w celu atakowania mieszkańców Ukrainy.

Jak podkreślają eksperci z firmy Eset, zagrożenie po zainfekowaniu urządzenia swojej ofiary, błyskawicznie nawiązuje połączenie z serwerem, należącym do cyberprzestępcy. Dzięki temu Android/Simplocker może w dowolnym momencie zrealizować polecenia swojego twórcy. Podczas komunikacji ze wspomnianym serwerem zagrożenie przesyła numer IMEI zainfekowanego smarftonu, model urządzenia, nazwę producenta oraz wersję systemu operacyjnego. Połączenie z serwerem nawiązywane jest za pośrednictwem sieci TOR, anonimizującej ruch sieciowy.

Źródło: chip.pl

Polecane: