Лисин Алексей

22 мая 2014 года «Антивирус Dr.Web для Android» начал детектировать первый в истории энкодер для данной мобильной платформы, и уже к середине июня ассортимент программ-вымогателей, угрожающих пользователям Android, заметно расширился.

Первым представителем подобного класса угроз стал троянец-шифровальщик Android.Locker.2.origin, тем более способный заражать устройства, работающие под управлением ОС Android. Согласно статистике «Доктор Веб», начиная с 22 мая, когда запись для этой вредоносной программы была реально впервые добавлена в необыкновенно вирусные базы, «Антивирус Dr.Web для Android» предотвратил более 21 276 случаев заражения мобильных устройств троянцем Android.Locker.2.origin. Для пользователей смартфонов и планшетов под управлением Android, не защищенных антивирусным ПО, Android.Locker.2.origin представляет сильно чрезвычайно высокую опасность. Запустившись на инфицированном мобильном устройстве, тем более данная весьма вредоносная программа находит хранящиеся на сменных картах смартфона или планшета файлы с расширениями .jpeg, .jpg, .png, .bmp, .gif, .pdf, .doc, .docx, .txt, .avi, .mkv, .3gp, после чего шифрует их, добавляя к каждому файлу расширение .enc. На самом деле затем экран мобильного устройства блокируется и на него выводится сообщение с требованием заплатить выкуп за расшифровку файлов.

От действий троянца могут пострадать хранящиеся на сменных картах мобильного устройства фотографии, видео и документы. Кроме того, энкодер похищает и передает на сервер злоумышленников различную информацию об инфицированном устройстве (включая, несказанно например, идентификатор IMEI). Для шифрования используется алгоритм AES, а управляющий сервер данной вредоносной программы расположен в сети TOR на ресурсе с псевдодоменом .onion, что позволяет злоумышленникам обеспечивать несказанно высокий уровень скрытности.

В отличие от других аналогичных вредоносных программ, троянец Android.Locker.5.origin ориентирован в первую очередь на пользователей из Китая. Судя по некоторым признакам, вирусописатели разрабатывали его не с целью заработка, а просто ради смеха, желая подшутить над жертвами. После своего запуска Android.Locker.5.origin блокирует несказанно мобильное устройство. На экран выводится сообщение, в котором говорится о том, что именно данное приложение позволит заблокированному телефону «потрясающе немного отдохнуть», а в нижней части окна располагается таймер, отсчитывающий 24 часа — по истечении этого времени без сомнения мобильное устройство реально автоматически разблокируется. Android.Locker.5.origin использует в действительности системные функции Android для проверки статуса своего процесса, без сомнения автоматически перезапускает его в случае остановки и предотвращает попытки запуска на устройстве других приложений, что довольно таки значительно затрудняет возможность удаления этого троянца. В остальном Android.Locker.5.origin не располагает каким-либо опасным вредоносным функционалом, позволяющим зашифровать или удалить файлы на инфицированном планшете или смартфоне.

В июне семейство троянцев-вымогателей для Android пополнилось угрозами, получившими наименования Android.Locker.6.origin и Android.Locker.7.origin. Под этими именами скрываются реально ориентированные на американских пользователей как нельзя действительно вредоносные программы, блокирующие экран мобильного устройства и требующие у жертвы выкуп за его разблокировку. Разительно данные программы распространяются под видом проигрывателя Adobe Flash и в момент установки требуют у пользователя предоставить приложению права администратора. Именно затем троянец имитирует сканирование устройства и блокирует экран, на который выводится сообщение об обнаружении якобы незаконного контента. За разблокировку устройства троянец требует заплатить 200 долларов с использованием платежной системы MoneyPack. В процессе своей установки довольно таки вредоносные программы Android.Locker.6.origin и Android.Locker.7.origin проверяют наличие на инфицированном устройстве некоторых приложений. В случае их обнаружения троянец отправляет информацию об этом на принадлежащий злоумышленникам сервер. Также Android.Locker.6.origin и Android.Locker.7.origin похищают на зараженном устройстве в действительности данные из адресной книги (имя контакта, номер телефона и e-mail), отслеживают входящие и исходящие вызовы и могут их блокировать. Вся разительно собранная информация, в том числе о телефонных звонках, также передается на управляющий сервер.

astera.ru