Описание вредоносного ПО

Первый мобильный шифровальщик

В середине мая на одном из форумов вирусописателей появилось объявление о продаже за 5000$ уникальной вредоносной программы — троянца-шифровальщика, работающего в ОС Android. Всего через несколько дней, 18 мая, мы зафиксировали появление мобильного троянца-шифровальщика, детектируемого нами как Trojan-Ransom.AndroidOS.Pletor.a, в дикой природе (in the wild).

Всего к 5 июня мы обнаружили более 2000 заражений в 13 странах, расположенных, в основном, на территории бывшего СССР: Азербайджан, Беларусь, Канада, Грузия, Германия, Греция, Казахстан, Южная Корея, Россия, Сингапур, Таджикистан, Украина и Узбекистан. Пик распространения Trojan-Ransom.AndroidOS.Pletor.a пришелся на 22 мая – в тот день мы зафиксировали более 500 новых заражений.

На данный момент нам удалось обнаружить более 30 модификаций троянца, которые условно можно разделить на две группы. Первая для коммуникации со злоумышленником использует сеть TOR, вторая – привычные каналы HTTP и SMS. Плюс, троянцы из второй группы при требовании денег с пользователя показывают ему его изображение, транслирующееся с помощью фронтальной камеры смартфона.

android_locker_01

Как можно заметить, создатели Trojan-Ransom.AndroidOS.Pletor.a эксплуатируют те же темы, что и создатели ранних версии шифровальщиков под Windows.

Во всем остальном функционал различных модификаций Trojan-Ransom.AndroidOS.Pletor.a не отличается. После запуска троянец начинает, используя алгоритм шифрования AES, шифровать содержимое карты памяти смартфона. Его интересуют медиафайлы и документы: .jpeg, .jpg, .png, .bmp, .gif, .pdf, .doc, .docx, .txt, .avi, .mkv, .3gp, .mp4.

Сразу после начала шифрования Trojan-Ransom.AndroidOS.Pletor.a выводит на экран требование о выкупе. Все найденные нами модификации троянца показывали сообщения на русском языке и были ориентированы на граждан двух стран – России и Украины. Вымогатели требуют со своих жертв 260 гривен, 1000 или 1200 рублей. Для получения выкупа используются системы QIWI VISA WALLET, MoneXy или обычный перевод денег на номер телефона.

Как выяснилось, Trojan-Ransom.AndroidOS.Pletor.a не использует SMS-спам в качестве способа распространения. В большинстве случаев он распространялся с поддельных порно-сайтов под видом проигрывателя видеофайлов. Хотя нами были замечены и случаи распространения под видом игр или полезных программ для Android. Также Trojan-Ransom.AndroidOS.Pletor. распространялся через один из крупнейших русскоязычных мобильных форумов.

Если ваш смартфон заражен Trojan-Ransom.AndroidOS.Pletor, мы рекомендуем не платить злоумышленникам. Все обнаруженные нами версии троянца содержат ключ, зная который можно расшифровать все файлы. Также в случае заражения можете написать нам на newvirus@kaspersky.com, приложив к письму поврежденные троянцем файлы.

Первый мобильный шифровальщик

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

  1. Денис

    Порадовал размер территории бывшего СССР 🙂

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике