Обнаружено новое вымогательское ПО для Android

a0f41f90f05e655bf2968f014caad34bСпециалисты по безопасности из компании Check Point Software опубликовали отчёт, в котором сообщили о появлении нового вымогательского ПО. Уникальная особенность этой программы заключается в том, что там используется протокол XMPP и связь с сервером C&C.

Все команды приложение получает через данный сервер, что позволяет выполнять удалённые действия, без ведома пользователя Android смартфона. Эта вымогательская программа не распространяется в официальном Play Market, зато встречается в сторонних магазинах. На тематических сайтах и форумах встречается и APK-файл, замаскированный под стандартный файл видео.

Эксперты также обнаружили экземпляр, который визуально напоминал мобильную версию Adobe Flash Player, однако его поддержка официально прекратилась в 2012 году. Перед установкой у пользователя спрашиваются разрешения на различные действия, однако их мало кто читает. После установки все данные в смартфоны автоматически шифруются приложением, а работа телефона полностью блокируется. Злоумышленники требуют перечислить им 200-500$, общая сумма заработанных средств уже превысила 500 тысяч долларов.

Специалисты Check Point не уточняют, откуда именно могут быть эти злоумышленники. Обнаружить авторов вредоносного кода крайне сложно, поскольку приложение распространяется через различные ресурсы. Весьма необычным выглядит обращение к XMPP и C&C серверу, ведь обычно этот протокол используется в программах для быстрого обмена текстовыми сообщениями. Через XMPP сложнее отслеживать трафик, а также отличать вредоносные данные от обычных. Маскировка подозрительного URL-адреса также может производиться подобными средствами.

В отчёте также отмечается, что вредоносное ПО собирало статистические данные о пользователях, которые производили установки программы в свои смартфоны. В статистике был указан и мобильный оператор, услугами которого пользовался конкретный абонент связи. Сообщение с требованием внести денежный выкуп, которое выдавалось на экран, учитывало собранные сведения. Публикуемое сообщение было якобы от имени АНБ США. Для повышения безопасности личных данных, владельцам Android-телефонов и планшетов рекомендуется не пользоваться сторонними магазинами, а скачивать и покупать софт исключительно из Google Play.

Возможности приложения: чтение переписки SMS, MMS, Вконтакте (официальное приложение и Kate Mobile), Одноклассники, Facebook, Мой Мир@mail.ru, ВСети.by, Twitter, Hangouts, Google+, WhatsApp, Skype, Viber, Hangouts (бывший Google Talk), Агент@mail.ru, ICQ, IM+ и IM+Pro, AIM, Jabber, MSN, MySpace, Yahoo! и Я.Онлайн (Яндекс Чат), Email переписку Gmail и Почта@mail.ru, просматривать посещенные сайты в браузерах Chrome, Opera, Firefox. Получить доступ к списку звонков и местонахождению телефона. Это малая часть всех возможностей. Весь список возможностей доступен тут

Видео руководство по установке для любого телефона:

Видео руководство по установке на телефон с ROOT правами:

Инструкция по установке и настройке:

  1. Заводим личный кабинет по этой ссылке: «Завести личный кабинет» (просто регистрируемся там).
  2. Заходим по этой ссылке: «Войти в личный кабинет на сайте» и вводим Email и пароль, которые указали пре регистрации.
  3. Жмем кнопку: «Добавить телефон»
  4. Заполняем все поля которые просят ввести. Заполняем правильно как там написано, иначе не будет работать.
  5. Жмем кнопку «Сохранить».
  6. Читаем инструкцию которая появилась после нажатия кнопки «Сохранить»
  7. Устанавливаем на телефон, (тот с которого нужно получить информацию) приложение, и настраиваем его согласно инструкции, которую вы должны будете прочитать на шаге 6.
  8. Приложение установлено. Все хорошо. Разработчики пишут, что надо подождать не менее часа, чтоб данные начали поступать в ваш личный кабинет который вы завели на шаге 1. В нашем случае данные пришли через 4 часа. Задуманное удалось! Желаю успехов.