Обнаружено новое вымогательское ПО для Android

a0f41f90f05e655bf2968f014caad34bСпециалисты по безопасности из компании Check Point Software опубликовали отчёт, в котором сообщили о появлении нового вымогательского ПО. Уникальная особенность этой программы заключается в том, что там используется протокол XMPP и связь с сервером C&C.

Все команды приложение получает через данный сервер, что позволяет выполнять удалённые действия, без ведома пользователя Android смартфона. Эта вымогательская программа не распространяется в официальном Play Market, зато встречается в сторонних магазинах. На тематических сайтах и форумах встречается и APK-файл, замаскированный под стандартный файл видео.

Эксперты также обнаружили экземпляр, который визуально напоминал мобильную версию Adobe Flash Player, однако его поддержка официально прекратилась в 2012 году. Перед установкой у пользователя спрашиваются разрешения на различные действия, однако их мало кто читает. После установки все данные в смартфоны автоматически шифруются приложением, а работа телефона полностью блокируется. Злоумышленники требуют перечислить им 200-500$, общая сумма заработанных средств уже превысила 500 тысяч долларов.

Специалисты Check Point не уточняют, откуда именно могут быть эти злоумышленники. Обнаружить авторов вредоносного кода крайне сложно, поскольку приложение распространяется через различные ресурсы. Весьма необычным выглядит обращение к XMPP и C&C серверу, ведь обычно этот протокол используется в программах для быстрого обмена текстовыми сообщениями. Через XMPP сложнее отслеживать трафик, а также отличать вредоносные данные от обычных. Маскировка подозрительного URL-адреса также может производиться подобными средствами.

В отчёте также отмечается, что вредоносное ПО собирало статистические данные о пользователях, которые производили установки программы в свои смартфоны. В статистике был указан и мобильный оператор, услугами которого пользовался конкретный абонент связи. Сообщение с требованием внести денежный выкуп, которое выдавалось на экран, учитывало собранные сведения. Публикуемое сообщение было якобы от имени АНБ США. Для повышения безопасности личных данных, владельцам Android-телефонов и планшетов рекомендуется не пользоваться сторонними магазинами, а скачивать и покупать софт исключительно из Google Play.