В началото на този месец ви информирахме за откритието на ESET на първия реално-действащ криптиращ данните малуер за устройства с операционна система за Android.
Но специалистите от известната компания за инфозащита не спират дотук. Те са се натъкнали на нов вариант на зловреда, който има нови, доста зловещи функционалности. Освен, откритото досега, че се възползва от мрежата на Tor, за да могат контролиращите го да скрият следите си, Android/Simplocker (по дефиниции от антивирусните бази-данни на ESET) иска различни по вид валута, според варианта си, защитават дейността си с AES-криптиране, а по-новооткрити варианти представят заедно със съобщението за „откупа“ и снимка на притежателя на устройството за по-голяма достоверност на съобщението, възползвайки се от камерата на телефона. Сред новооткритите варианти се иска откуп и в рубли (90% от инфектираните устройства се намират в Украйна и Русия), а някои от тях не криптират нищо, а просто заключват екрана.
Как най-често се „сдобиват“ жертвите на Android/Simplocker с малуера? Телеметрията на ESET LiveGrid показва, че най-честия вектор на зараза е чрез свалянето на приложение за гледане на съдържание за възрастни и видео приложения с подобна тематика или със свалянето на популярни игрови заглавия, като Grand Theft Auto: San Andreas от сенчести места. И разбира се свалянето на фалшиви видео-плейъри, като тук специалистите са се натъкнали на още една нова техника, която се използва от Simplocker, която макар и не нещо уникално за малуера насочен към Android, е по-характерна за този, който поразява Windows-системи – появата на trojan-downloader функционалност – свалянето на допълнително малуер след попадането на оригиналният зловред в системата, като често той имитира напълно легитимно приложение като например USSDDualWidget.