Вымогатели в кармане. Компания ESET рассказала о программах, которые блокируют телефоны на Android

Анастасия Кривец Анастасия Кривец

Вредоносные программы, блокирующие устройства на платформе Android и требующие денег за разблокирование, распространяются по миру. Компания ESET, выпускающая антивирусы, объяснила, как работают платформы-вымогатели и как не получить их на свой смартфон.

Компания ESET сообщила о распространении вымогательских программ для Android с функцией шифрования файлов. Вирус находит в памяти телефона текстовые файлы или изображения и блокирует их, после чего на экране гаджета появляется сообщение с требованием оплаты взамен на ключ к расшифровке файлов.

f1ce659a975648fcb464d9a9a156c599

 

ESET называет такого рода ПО Simplocker (простой блокировщик), потому что ключ расшифровки находится в теле программы-вымогателя в открытом доступе.

«Таким образом, не составляло большого труда расшифровать файлы и получить к ним доступ», — сообщается в официальном блоге компании.

Ранее подобные вирусы были рассчитаны на продукцию Windows, первые версии для Android появились в 2014 году.

Более продвинутые версии Simplocker научились получать доступ к фронтальным камерам телефона и к требованию оплаты добавляли фотографию пользователя.

6dc5df36afda4cbab112e6f466b76df8

ESET считает, что злоумышленники изначально ориентировались на украинских пользователей Android.

«Текст сообщения вымогателя был написан на русском языке, а оплата требовалась в рублях или в украинских гривнах, что свидетельствует об ориентации злоумышленников на пользователей в Украине. Сообщение также указывало жертве, каким образом следовало оплатить выкуп. В качестве платёжных систем указывались MoneXy или QIWI, так как в этом случае получателя выполненного платежа не так просто отследить, как, если бы, он был выполнен с использованием кредитной карты», — говорится в блоге компании.

Позже у вымогателей появилась англоязычная версия, и деньги со своих жертв они требовали уже от имени ФБР и в валюте.

cbdb2629ade34ecaa24d023ad0ae9ef2

Вредоносные программы настаивали на оплате через интернет-сервисы: так сложнее выявить получателя.

«В качестве платёжных систем указывались MoneXy или QIWI, так как в этом случае получателя выполненного платежа не так просто отследить, как если бы он был выполнен с использованием кредитной карты», — объясняет компания ESET.

Преимущественно среди американцев распространилась программа Lockerpin, получающая доступ к пин-коду телефона на Android и меняющая его. Вирус обретает права администратора устройства, маскируясь под обновление ПО, на которое доверчивый пользователь «кликает», не читая.

ec9f0da80ec140bb94ea0b97baca259f

Потом жертве приходит «сообщение от полиции» с требованием оплатить штраф в 500 долларов.

2f7f46c1ca5c4260a79b555065cbd154

 

В Китае злоумышленники разработали программу Jisut, которая блокирует телефон не с целью получения выгоды, а просто для розыгрыша.

Например, пользователь получает сообщение с требованием нажать кнопку «Я идиот» тысячу раз, чтобы разблокировать телефон. Или программа создает имитацию экрана для ввода пин-кода, и когда жертва начинает вводить свой пин-код, то разблокировка телефона не происходит.

2449815868014dfdba439e04fc8903c6

Такие вредоносные программы маскируются под разного рода мобильные приложения, и пользователи по невнимательности устанавливают их себе сами.

«Как правило, маскировка выполнялась под приложение, которое имело отношение к порно, это могло быть приложение для его просмотра или сам порно-ролик. В другом случае приложение маскировалось под игры, например, Grand Theft Auto: San Andreas или под такие общие приложения как проигрыватель Flash Player», — сказано в блоге компании ESET.