Недавно нам на анализ попал очередной вымогатель для операционной системы Android. В отличие от своих предшественников, этот троянец «шифрует» телефонные номера и адреса электронной почты в списке контактов владельца зараженного устройства.
Первые вымогатели для операционной системы Android появились относительно недавно, и сейчас наблюдается резкий рост их количества. Только за последние три месяца на мобильных устройствах наших пользователей мы зафиксировали более 6000 попыток установки программ-вымогателей. Все они по-своему уникальны: одни блокируют экран и все операции на телефоне, другие – шифруют пользовательские файлы на карте памяти и требуют выкуп за расшифровку. Однако троянец, который нацелен на шифрование списка контактов пользователя, появился впервые.
Вредоносное приложение распространяется с порносайта под видом видео. После запуска троянца, как и в случае остальных программ-вымогателей, появляется окно с требованием заплатить злоумышленнику определенную сумму. Это окно легко закрыть кнопкой «Home», но оно будет появляться снова и достаточно часто.
Как и в большинстве подобных случаев, пользователя пугают тем, что его мобильное устройство заблокировано «за просмотр и распространение детской порнографии и видео со сценами зоофилии». В случае неуплаты злоумышленники грозят безвозвратно уничтожить «все данные» на телефоне жертвы.
На самом деле пользователь рискует потерять свои контакты: если после запуска приложения он откроет свой список контактов, то увидит примерно следующее:
Как видно, все номера телефонов в списке контактов зашифрованы. Тем не менее, «шифрования» как такового нет. На самом деле троянец переводит строку в массив байт и записывает в шестнадцатеричном виде. При этом в коде имеется задел для простейшей будущей шифровки — методом операции XOR.
Вдобавок вредоносная программа выключает звук на телефоне и блокирует все попытки позвонить:
Судя по большому количеству отладочных строк и недоработкам в функционале, можно предположить, что вредоносное приложение находится на стадии отладки. Так, для разблокировки телефона и восстановления контактов нужно ввести пароль. Не понятно, каким образом злоумышленник предполагает после оплаты присылать его жертве – возможно, это и вовсе не планируется. В имеющемся у нас образце вредоносной программы пароль задан статично в коде: это «123». Скорее всего, новые версии троянца будут по-настоящему шифровать контакты, связываться по интернету с командным центром и воровать входящие сообщения. Однако зловред представляет опасность для пользователей уже сейчас.
Если вы стали жертвой этого троянца, мы не рекомендуем платить злоумышленнику для восстановления контактов. Для начала можно попробовать удалить вредоносную программу: свернуть приложение кнопкой Home и до следующего появления главного окна зайти в список приложений и удалить троянца, который сохраняется на мобильном устройстве под именем известной игры — «angrybirds». А после удаления троянца контакты можно будет восстановить при помощи облачного сервиса ‑ Google предоставляет возможность восстановления, если на телефоне была включена синхронизация контактов с облаком, и с момента шифрования контактов прошло менее 30 дней.
Если удалить вредоносное приложение не удалось, пришлите файл нам через свой личный кабинет.
Вредоносное приложение детектируется продуктами «Лаборатории Касперского» как «HEUR:Trojan-Ransom.AndroidOS.Cokri.a».
Шифровальщик контактов