Осенью прошлого года мы рассказывали о зловредной программе под названием CryptoLocker, которая намертво шифрует содержимое Windows-компьютера и требует выкуп за восстановление данных. И хотя аппетиты злоумышленников трудно назвать скромными, никаких гарантий того, что в обмен на деньги они пришлют ключ для дешифровки данных, никто не дает. Так вот, похоже, что теперь аналогичная зараза может подкинуть проблем владельцам устройств на базе Android: на днях стало известно о появлении под эту платформу программы-вымогателя, практически полностью блокирующей смартфон. Причем распространяется она среди злоумышленников с упоминанием печально известного криптолокера, что, конечно, заставляет напрячься: все-таки вымогатели-шифровальщики на Android — это пока еще экзотика. Впрочем, на самом ли деле новая программа так же опасна, как и ее десктопный аналог?

Практически все программы-вымогатели работают по одному и тому же принципу: блокируют управление операционной системой и требуют деньги за то, чтобы все вернулось на свои места. Чаще всего, правда, такие зловреды действуют сравнительно примитивно, серьезного ущерба системе не наносят и нейтрализуются без особых проблем. Но CryptoLocker — совсем другое дело: эта зараза не просто блокирует компьютер, но зашифровывает некоторые важные файлы при помощи сильной криптографии. Единственный способ расшифровать их — применить специальный ключ, которым, как нетрудно догадаться, злоумышленники готовы поделиться только за хорошее вознаграждение.

Ответственность за новый Android-зловред вменяется группе, несколько лет назад распространявшей другой блокер-вымогатель — программу Reveton. Одним из первых специалистов, обнаруживших заразу, оказался известный в определенных кругах исследователь-безопасник под ником Kafeine. Он выяснил, что, когда жертва с Android-устройством заходит на сайт, зараженный данным конкретным штаммом зловреда, сервер тут же перенаправляет пользователя на порносайт, который, в свою очередь, использует методы социальной инженерии для того, чтобы вынудить его скачать файл APK. Именно этот пакет, маскирующийся под порноприложение, и содержит вредоносный код.

Таким образом, с одной стороны, у нас есть хорошие новости: новый блокер создаст проблемы только в том случае, если вы по глупости или недосмотру пустите его к себе на смартфон, самостоятельно установив программу. Так что если вы пользуетесь только официальным магазином Google Play и не ходите по подозрительным сайтам, то бояться вам нечего. С другой стороны, есть новости похуже: попав в систему, зловред действительно блокирует доступ к основным функциям операционки. В частности, попытки запустить любое приложение, вызвать какую-либо функцию или даже просто открыть список запущенных программ оказываются бесполезны.

Так выглядит выводимое блокером на экран сообщение с предупреждением (скриншот Kafeine)

При каждом подобном действии на экране появляется сообщение, в котором пользователь обвиняется в просмотре и распространении порнографии, а также предупреждение о том, что за эти деяния пользователю светит тюремный срок от 5 до 11 лет, так что, дескать, неплохо бы заплатить $300, чтобы избежать наказания. На сегодняшний день версия данного зловреда включает в себя варианты сообщений для жертв в более чем 30 странах, в том числе США, Германии, Франции, Испании, Великобритании. России в списке не оказалось, несмотря на то что оригинальный рекламный текст, при помощи которого злоумышленники распространяют зловред и который был обнаружен исследователем, написан на русском языке.

Но вернемся к главному вопросу: опасен ли этот блокер так же, как его десктопный прародитель? Судя по всему, нет: программа лишь не дает пользователю добраться до приложений и настроек, сами же данные остаются нетронутыми, в целости и сохранности. Почему и зачем распространители зловреда упоминают CryptoLocker в своей рекламе — пока что до конца неясно. Вполне вероятно, что это банальная спекуляция на громком имени с целью подогреть спрос на свою поделку. С другой стороны, не исключено, что это задел на будущее и одна из следующих модификаций действительно будет способна намертво шифровать содержимое смартфона на базе Android.

Как бы там ни было, как только нам будут известны новые подробности — сразу же вам о них расскажем.

Источник: Kaspersky Lab.