Израильская компания Check Point информирует о появлении новой разновидности трояна Simplocker, передающего мобильные устройства с ОС Android. В нём использованы другие способы стимуляции к установке, более агрессивные нетривиальный канал и средства шантажа связи с управляющими серверами.
Обновлённая версия трояна делает шифрование файлов, удаляет оригиналы и блокирует экран, выводя оверлеем сообщение с требованием выкупа. В тексте от имени АНБ и Минфина США требуется перевести «штраф» в размере $500 через PayPal на указанный счёт, в противном случае сумма задолженности будет расти ежедневно. Предлоги указываются различные, а текст копирует по стилю официальные уведомления.
Троян не только имитирует сообщения от правительственных организаций, но и маскируется под популярные программы – в частности, магазины приложений и Flash Player. Выдаёт его запрос прав администратора, что утилиты без системных функций ни при каких обстоятельствах не делают.
По словам начальника исследовательской группы Check Point Офера Каспи, троян сложно удалить по окончании того, как он возьмёт контроль над устройством. Зашифрованные файлы фактически не смогут быть восстановлены без получения ключа, исходя из этого у жертвы имеется два варианта: заплатить за расшифровку требуемую сумму (в большинстве случаев это $500) либо сделать сброс до заводских установок, утратив все индивидуальные эти.
Про необходимость делать бэкапы, элементарные правила и облачную синхронизацию безопасности возможно писать хоть ежедневно. Массовое заражение так же, как и прежде делается вероятными по причине того, что уровень компетентности пользователей неуклонно падает. Simplocker кроме того не содержит каких-либо средства для обхода защиты Android. Он только требует дать ему нужные привилегии у самого пользователя. Не обращая внимания на очевидную уловку, многие становятся жертвами и собственноручно разрешают вредоносную активность малоизвестному приложению.
Троян Simplocker маскируется под Flash Player (изображение: Check Point / Avast!).
Согласно данным Check Point число инфицированных устройств исчисляется десятками тысяч. Оно увеличивается кроме того по окончании начала целенаправленной борьбы с трояном, выпуска бесплатных противовирусных утилит и разъяснительной работы. Кое-какие кроме того заплатили по паре раз, для получения своих файлов обратно. Они или заражались повторно, или просто не считали нужным принять меры кроме того по окончании того, как столкнулись с откровенным шантажом.
Большая часть троянов-вымогателей не хранит ключ локально, а приобретает его с одного из управляющих серверов. Это затрудняет восстановление файлов, потому, что ключ любой раз выясняется различный, а забрать его негде. Исходя из этого, столкнувшись с началом эпидемии, противовирусные компании довольно часто применяют способ sinkhole для блокировки и выявления управляющих серверов ботнета. Без них троян лишается возможности шифровать файлы неповторимым ключом и собственной основной вредоносной функции.
Большая часть троянов общаются с CC серверами по протоколу HTTP либо HTTPS. Таковой трафик достаточно специфичен, исходя из этого его относительно легко отследить. Существует множество отработанных методик по ликвидации и выявлению таких ботнетов при содействии провайдеров.
Анализ трафика посредством сниффера Wireshark (скриншот: threatpost.на следующий день).
У новой версии Simplocker сообщение с CC серверами устанавливается по протоколу обмена мгновенными сообщениями XMPP (ранее известному как Jabber), исходя из этого трафик троянов теряется на неспециализированном фоне. Применение XMPP кроме этого делает неосуществимым блокировку определённых узлов по URL.
Имеется и другие обстоятельства применять основанный на XML протокол в целях управления зловредами. Потому, что в нём используются сторонние и уже присутствующие в Android библиотеки, то троян получается маленьким и не требующим установки дополнительных компонентов. Так как XMPP поддерживает TLS, связь между заражённым командным сервером и устройством шифруется стандартными средствами.
Дополнительную сложность блокировки ботнета воображает применение в нём узлов сети TOR. Кроме ключей шифрования троян приобретает таким же образом и команды. Среди них смогут быть задания по отправке SMS либо исполнению звонков на платные номера, отправка и поиск паролей, рассылка спама, удаление пользовательских файлов на устройстве и другие.
Анализ трояна Simplocker (скриншот: Check Point).
Взяв пара образцов новой версии трояна, исследователям Check Point однако удалось перехватить много тысяч сообщений, посланных по XMPP между серверами CC и на зараженные мобильные устройства. Все они содержали информационный мусор, внедряемый с целью затруднения анализа пакетов. Преодолев способы обфускации, им удалось прочесть содержимое всех сообщений.
Анализ продемонстрировал, что запрашиваемая вымогателями сумма изменяется. Она варьирует от $200 до $500, и около 10% жертв торопятся сделать платёж в первые же часы. Авторы Simplocker уже взяли как минимум полмиллиона американских долларов, и точно это только вершина айсберга. Эксперты Check Point взяли лишь какую-то часть управляющих сообщений. Настоящие масштабы заразы согласно их точке зрения в разы больше.
Было отмечено, что по окончании успешного заражения троян определяет расположение устройства согласно данным GPS либо оператора сотовой связи. Зная, где находится жертва, троян выводит адаптированное для обитателей данного региона сообщение. Локализация выполнена достаточно шепетильно, что подчёркивает большой уровень преступной группы. Приблизительно две трети инфицированных гаджетов найдены на территории США. На втором месте по числу заражений стоит Азия, а замыкает перечень Европа. В Российской Федерации также отмечались случаи заражения, но полной уверенности в том, что речь заходит как раз о новой версии Simplocker до тех пор пока нет.
Функция автоматического выбора языка для экрана блокировки в трояне Simplocker (скриншот: Check Point).
На данный момент сотрудники Check Point и других противовирусных компаний стараются выяснить и изолировать CC серверы ботнета. Операторам XMPP-серверов посланы уведомления, и тысячи применяемых для управления трояном аккаунтов уже заблокированы. Но авторы трояна также не теряют времени и придумывают обходные дороги.