24 февраля 2016 5862

Эволюция вымогателей. Эксперты ESET проанализировали развитие троянов-вымогателей на Android

Компания ESET представила отчет о наиболее актуальной мобильной угрозе современности – троянах-вымогателях для Android. Отчет представлен на Всемирном мобильном конгрессе (MWC 2016) в Барселоне.

Прообразом современных вымогателей для Android были поддельные антивирусы, обнаруженные в 2012 году. Затем вредоносное ПО для мобильных устройств развивалось по сценариям, отработанным в среде Windows: усложнение функционала, совершенствование кодовой базы, увеличение охвата, применение социальной инженерии.

Эксперты по информационной безопасности ESET проанализировали эволюцию развития троянов-вымогателей и подготовили инфографику.

Март 2012 – первый поддельный антивирус для Android
Первые вымогатели для Android имитировали функции антивируса: сканирование файлов и сообщение о заражении. Затем следовало требование оплатить удаление вируса. Некоторые подделки действовали силой убеждения, некоторые – блокировали экран.

Июнь 2013 – Android Defender
Первый типичный фальшивый антивирус для Android с функционалом вымогателя. Имитирует легитимное приложение. После «сканирования» предлагает оплатить удаление вирусов (от 89,99 долларов) или «остаться без защиты». Выбрав первый вариант, пользователь передает банковские данные злоумышленникам, второй – теряет доступ к устройству, так как на экран будет постоянно выводиться всплывающее окно. Не получив выкуп в течение шести часов, вымогатель блокирует экран полноразмерным изображением порнографического характера.
Android/FakeAV.B

Сентябрь 2013 – поддельный Avast
Второй поддельный антивирус маскировался под мобильное приложение порносайта PornHub. После установки предлагал проверить устройство антивирусом Avast. После запуска «сканирования» выводил на экран сообщение о том, что устройство «заблокировано из соображений безопасности» до покупки Pro-версии антивируса за 100 долларов.
Android/FakeAV.E

Май 2014 – «полицейский» троян-вымогатель
Первые образцы нацелены на русскоязычных пользователей, позже появились версии на английском языке. Экран блокировки имитирует официальное сообщение правоохранительных органов о блокировке устройства за распространение порноконтента, нелицензионного ПО и пр. Для восстановления доступа к файлам предлагается оплатить штраф. «Полицейские» вымогатели используют геолокацию и снимки встроенной камеры для персонификации сообщений.
Android/Koler или Android/Locker

Май 2014 – Simplocker
Первый в мире шифратор для Android, обнаруженный аналитиками ESET. «Младший брат» знаменитых вымогателей для Windows Cryptolocker, TorrentLocker и др. Распространяется под видом легитимных приложений и игр (включая Grand Theft Auto: San Andreas). После установки шифрует фото, видео и документы в формате JPEG, JPG, PNG, BMP, GIF, PDF, DOC, DOCX, TXT, AVI, MP4 и др. и требует выкуп за восстановление доступа. Первые модификации Simplocker ориентированы на российских и украинских пользователей. Некоторые версии имеют доступ к фронтальной камере и используют получившиеся снимки на экране блокировки.
Android/Simplocker.A

Июнь 2014 – Jisut
Распространенный в Китае вымогатель-розыгрыш, его операторы – молодые люди 16-21 лет, их контакты в социальной сети QQ есть в сообщении о блокировке. Эксперты ESET обнаружили сотни версий Jisut на базе одного кода, но с разными опциями: показ забавных сообщений при выключении устройства, проигрыш музыки из фильма «Психо» Альфреда Хичкока, требование нажать на кнопку с надписью «Я – идиот» 1000 раз и пр. Вредоносный функционал включает отображение экрана блокировки, оформленного в стиле «полицейских» вымогателей, и рассылку SMS с вредоносными ссылками по списку контактов.
Android/LockScreen.Jisut

Июль 2014 – Simplocker, первая версия на английском
Новые модификации Simplocker были перенацелены на англоговорящих пользователей, получив следующие обновления: сообщение о блокировке от ФБР или АНБ (в стиле «полицейских» троянов), сумма выкупа 200-500 долларов, возможность шифрования архивов ZIP, 7z, RAR (в этом формате часто хранятся бэкапы), права администратора устройства, новые ключи шифрования.
Android/Simplocker.I

Май 2015 – фальшивый антивирус под видом Minecraft
Специалисты ESET обнаружили в Google Play больше 30 подделок под игру Minecraft или чит-программы к ней, скачанные пользователями до 2,8 млн раз. После запуска программа выводила на экран множество рекламных баннеров. Любое взаимодействие с приложением приводило к появлению предупреждения об «опасном вирусе». Для его удаления предлагалось активировать антивирус стоимостью в 4,80 евро в неделю.

Август 2015 – Lockerpin
Троян-вымогатель, меняющий PIN-коды на смартфонах и планшетах на Android. Распространяется в качестве «взрослых» видео или приложений. Использует агрессивные механизмы самозащиты. Получает права администратора устройства, выводя на экран сообщение о необходимости «установки обновлений». Далее блокирует устройство и формирует новый PIN-код. Пользователю предлагается заплатить 500 долларов в качестве «штрафа за просмотр и хранение порнографических материалов». 72 % заражений приходится на США.
Android/Lockerpin

Антивирусные продукты ESET NOD32 защищают от всех известных мобильных угроз.