Описание вредоносного ПО

Первый мобильный шифровальщик

В середине мая на одном из форумов вирусописателей появилось объявление о продаже за 5000$ уникальной вредоносной программы — троянца-шифровальщика, работающего в ОС Android. Всего через несколько дней, 18 мая, мы зафиксировали появление мобильного троянца-шифровальщика, детектируемого нами как Trojan-Ransom.AndroidOS.Pletor.a, в дикой природе (in the wild).

Всего к 5 июня мы обнаружили более 2000 заражений в 13 странах, расположенных, в основном, на территории бывшего СССР: Азербайджан, Беларусь, Канада, Грузия, Германия, Греция, Казахстан, Южная Корея, Россия, Сингапур, Таджикистан, Украина и Узбекистан. Пик распространения Trojan-Ransom.AndroidOS.Pletor.a пришелся на 22 мая – в тот день мы зафиксировали более 500 новых заражений.

На данный момент нам удалось обнаружить более 30 модификаций троянца, которые условно можно разделить на две группы. Первая для коммуникации со злоумышленником использует сеть TOR, вторая – привычные каналы HTTP и SMS. Плюс, троянцы из второй группы при требовании денег с пользователя показывают ему его изображение, транслирующееся с помощью фронтальной камеры смартфона.

android_locker_01

Как можно заметить, создатели Trojan-Ransom.AndroidOS.Pletor.a эксплуатируют те же темы, что и создатели ранних версии шифровальщиков под Windows.

Во всем остальном функционал различных модификаций Trojan-Ransom.AndroidOS.Pletor.a не отличается. После запуска троянец начинает, используя алгоритм шифрования AES, шифровать содержимое карты памяти смартфона. Его интересуют медиафайлы и документы: .jpeg, .jpg, .png, .bmp, .gif, .pdf, .doc, .docx, .txt, .avi, .mkv, .3gp, .mp4.

Сразу после начала шифрования Trojan-Ransom.AndroidOS.Pletor.a выводит на экран требование о выкупе. Все найденные нами модификации троянца показывали сообщения на русском языке и были ориентированы на граждан двух стран – России и Украины. Вымогатели требуют со своих жертв 260 гривен, 1000 или 1200 рублей. Для получения выкупа используются системы QIWI VISA WALLET, MoneXy или обычный перевод денег на номер телефона.

Как выяснилось, Trojan-Ransom.AndroidOS.Pletor.a не использует SMS-спам в качестве способа распространения. В большинстве случаев он распространялся с поддельных порно-сайтов под видом проигрывателя видеофайлов. Хотя нами были замечены и случаи распространения под видом игр или полезных программ для Android. Также Trojan-Ransom.AndroidOS.Pletor. распространялся через один из крупнейших русскоязычных мобильных форумов.

Если ваш смартфон заражен Trojan-Ransom.AndroidOS.Pletor, мы рекомендуем не платить злоумышленникам. Все обнаруженные нами версии троянца содержат ключ, зная который можно расшифровать все файлы. Также в случае заражения можете написать нам на newvirus@kaspersky.com, приложив к письму поврежденные троянцем файлы.

Первый мобильный шифровальщик

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

  1. Денис

    Порадовал размер территории бывшего СССР 🙂

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике