Замечено новое вымогательское ПО для Android

Работники по безопасности из корпорации Check Point Software выпустили доклад, в котором говорится о появлении нового вымогательского ПО. Главная особенность этой программы отмечается, что там применяют специальный протокол XMPP и связь с сервером C&C.

Все команды приложение отправляет через этот сервер, что позволяет выполнять удалённые действия, без ведома жертвы Android телефона. Эта вымогательская программа не была в замечена Play Market, зато была в других магазинах. На специальных сайтах и форумах встречается и APK-файл, замаскированный под обычное видео.

Специалисты также заметили версию, которая визуально похожа на Adobe Flash Player, однако его уже давно не поддерживают. Перед установкой у пользователя спрашиваются разрешения на различные действия, однако их мало кто читает. После загрузки вся информация в телефоне автоматически шифруются вирусом, а работа смартфона полностью блокируется. Хакеры просят выплатить им 300-400$, общая сумма отправленных средств уже выше 500 тысяч долларов.

Работники Check Point не уточняют, откуда распространяют вирус хакеры. Заметить авторов вредоносного приложения очень трудно, потому что сервис распространяется через разные сайты. Весьма необычным выглядит обращение к XMPP и C&C серверу, ведь обычно этот протокол применяется в программах для быстрого обмена сообщениями. Через XMPP труднее отслеживать трафик, а также различать вредоносные данные от простых. Маскировка сомнительного URL-адреса также может производиться схожими методами.

В отчёте также было, что вредоносное ПО искала статистическую информацию о пользователях, которые скачивали программы в свои телефоны. В статистике был указан и мобильный оператор, услугами которого пользовалась жертва. Сообщение об отправке денег, которое появлялось на экране, учитывало эти данные. Публикуемое сообщение было от имени АНБ. Для повышения безопасности своих данных, владельцам Android-смартфонов и планшетов требуется не использовать не официальные магазины, а загружать и покупать программы только из Google Play.