24 Февраля 2016

ESET: вымогатели переходят в наступление

Москва, 24 февраля 2016 г. Международная антивирусная компания ESET подготовила отчет, посвященный наиболее актуальной мобильной угрозе современности – троянам-вымогателям для операционной системы Android (ransomware). Отчет представлен в рамках Всемирного мобильного конгресса 2016 в Барселоне.

На протяжении 2015 года вирусная лаборатория ESET ежемесячно обнаруживала около 200 новых образцов Android-угроз. Среди них преобладают типичные для данной платформы троянские программы, и одновременно растет доля троянов-вымогателей.

Прообразом современных вымогателей для Android были поддельные антивирусы, обнаруженные в 2012 году. В течение последующих трех лет  развитие мобильных угроз осуществлялось по сценариям, отработанным в среде Windows: усложнение функционала, совершенствование кодовой базы, увеличение охвата, применение социальной инженерии.

В 2013 году зафиксированы первые фальшивые антивирусы с функцией вымогателя, способные блокировать экран зараженного устройства.

В 2014 году вирусные аналитики ESET обнаружили Simplocker – первый шифратор для Android, в 2015 – вымогатель Lockerpin, меняющий PIN-код на смартфонах и планшетах. По данным статистики ESET LiveGrid, в отличие от большинства Android-вымогателей, нацеленных на пользователей из России и Украины, 72 % устройств, зараженных Lockerpin, находится в США.

Чтобы избежать заражения троянами-вымогателями, ESET рекомендует загружать мобильные приложения только в официальных магазинах (Google Play), предварительно изучая отзывы других пользователей, и защитить смартфоны и планшеты на Android современным антивирусным ПО.

Интеллектуальное решение ESET NOD 32 Mobile Security для Android детектирует известные и новые мобильные угрозы.

Март 2012 – первый поддельный антивирус для Android

Первые вымогатели для Android имитировали функции антивируса: сканирование файлов и сообщение о заражении. Затем следовало требование оплатить удаление вируса. Некоторые подделки действовали силой убеждения, некоторые – блокировали экран.

Июнь 2013 – Android Defender

Первый типичный фальшивый антивирус для Android с функционалом вымогателя. Имитирует легитимное приложение. После «сканирования» предлагает оплатить удаление вирусов (от 89,99 долларов) или «остаться без защиты». Выбрав первый вариант, пользователь передает банковские данные злоумышленникам, второй – теряет доступ к устройству, так как на экран будет постоянно выводиться всплывающее окно. Не получив выкуп в течение шести часов, вымогатель блокирует экран полноразмерным изображением порнографического характера.

Android/FakeAV.B

Сентябрь 2013 – поддельный Avast

Второй поддельный антивирус маскировался под мобильное приложение порносайта PornHub. После установки предлагал проверить устройство антивирусом Avast. После запуска «сканирования» выводил на экран сообщение о том, что устройство «заблокировано из соображений безопасности» до покупки Pro-версии антивируса за 100 долларов.

Android/FakeAV.E

Май 2014 – «полицейский» троян-вымогатель

Первые образцы нацелены на русскоязычных пользователей, позже появились версии на английском языке. Экран блокировки имитирует официальное сообщение правоохранительных органов о блокировке устройства за распространение порноконтента, нелицензионного ПО и пр. Для восстановления доступа к файлам предлагается оплатить штраф. «Полицейские» вымогатели используют геолокацию и снимки встроенной камеры для персонификации сообщений.

Android/Koler или Android/Locker

Май 2014 – Simplocker

Первый в мире шифратор для Android, обнаруженный аналитиками ESET. «Младший брат» знаменитых вымогателей для Windows Cryptolocker, TorrentLocker и др. Распространяется под видом легитимных приложений и игр (включая Grand Theft Auto: San Andreas). После установки шифрует фото, видео и документы в формате JPEG, JPG, PNG, BMP, GIF, PDF, DOC, DOCX, TXT, AVI, MP4 и др. и требует выкуп за восстановление доступа. Первые модификации Simplocker ориентированы на российских и украинских пользователей. Некоторые версии имеют доступ к фронтальной камере и используют получившиеся снимки на экране блокировки.

Android/Simplocker.A

Июнь 2014 – Jisut

Распространенный в Китае вымогатель-розыгрыш, его операторы – молодые люди 16-21 лет, их контакты в социальной сети QQ есть в сообщении о блокировке. Эксперты ESET обнаружили сотни версий Jisut на базе одного кода, но с разными опциями: показ забавных сообщений при выключении устройства, проигрыш музыки из фильма «Психо» Альфреда Хичкока, требование нажать на кнопку с надписью «Я – идиот» 1000 раз и пр. Вредоносный функционал включает отображение экрана блокировки, оформленного в стиле «полицейских» вымогателей, и рассылку SMS с вредоносными ссылками по списку контактов.

Android/LockScreen.Jisut

Июль 2014 – Simplocker, первая версия на английском

Новые модификации Simplocker были перенацелены на англоговорящих пользователей, получив следующие обновления: сообщение о блокировке от ФБР или АНБ (в стиле «полицейских» троянов), сумма выкупа 200-500 долларов, возможность шифрования архивов ZIP, 7z, RAR (в этом формате часто хранятся бэкапы), права администратора устройства, новые ключи шифрования.

Android/Simplocker.I

Май 2015 – фальшивый антивирус под видом Minecraft

Специалисты ESET обнаружили в Google Play больше 30 подделок под игру Minecraft или чит-программы к ней, скачанные пользователями до 2,8 млн раз. После запуска программа выводила на экран множество рекламных баннеров. Любое взаимодействие с приложением приводило к появлению предупреждения об «опасном вирусе». Для его удаления предлагалось активировать антивирус стоимостью в 4,80 евро в неделю.

Август 2015 – Lockerpin

Троян-вымогатель, меняющий PIN-коды на смартфонах и планшетах на Android. Распространяется в качестве «взрослых» видео или приложений. Использует агрессивные механизмы самозащиты. Получает права администратора устройства, выводя на экран сообщение о необходимости «установки обновлений». Далее блокирует устройство и формирует новый PIN-код. Пользователю предлагается заплатить 500 долларов в качестве «штрафа за просмотр и хранение порнографических материалов». 72 % заражений приходится на США.

Android/Lockerpin