Антивирусная компания Eset на неделе сообщила об обнаружении опасного Android-вредоноса, шифрующего данные на карте памяти мобильного устройства. В Eset говорят, что появление Android-шифровальщиков — это не такое уж редкое дело, но далеко не все из них имеют возможность работы с картами памяти с привилегиями системного уровня. В компании говорят, что их всех мобильных вредоносов программы-шифровальщики являются одной из наименее распространенных категорий программ. Ранее мобильные вирусописатели применяли другие методы блокировки устройств для вымогания дене, предпочитая не трогать файлы. К примеру, вредоносы Android.Defender и Android.Koler применяли различные методы экранной блокировки для шантажа пользователей. В свою очередь новый вредонос Android/Simlocker.A сканирует SD-карту на наличие файлов с расширением jpeg, jpg, png, bmp, gif, pdf, doc, docx, txt, avi, mkv, 3gp, mp4 и шифрует их при помощи алгоритма AES (Advanced Encryption Standard). После этого код выводит пользователю сообщений о том, что авторам кода необходимо перечислить 260 украинских гривен через сервис MoneXy для расшифровки смартфона или планшета. Аналогичный метод шантажа использует вредонос Cryptolocker, однако этот код ориентирован на ПК под управлением Windows. Ранее автор Cryptolocker был арестован ФБР США. В Eset говорят, что авторы Simlocker использовали достаточно простую технику для шифрования, однако само наличие подобного кода — это своего рода proof-of-concept. То есть в будущем, скорее всего, можно ожидать появления более продвинутых образцов. Eset сообщает, что ее специалистами код был обнаружен внутри приложения Sex xionix, которое не распространяется через Google Play и пока масштабы заражения Simlocker, скорее всего, невелики. Еще одним интересным моментом Simlocker является использование Tor-коммуникаций. Коммандный сервер этого кода использует расширение .onion и не доступен из обычного интернета. По Tor-каналам вредонос передает IMEI-номер мобильного устройства и получает данные для шифрования информации.
Источник