ESET: новый шифратор для Android распространяется через порногруппы

01.08.2019

Международная антивирусная компания ESET обнаружила новую программу-вымогатель Android/Filecoder. C, нацеленную на пользователей Android-устройств. Злоумышленники распространяли вредоносные ссылки и QR-коды в подразделах о порнографии на Reddit, а также на форуме для Android-разработчиков XDA Developers.

Для сокрытия подозрительного адреса использовался портал bit.ly — сервис для создания коротких ссылок. После загрузки вредоносное приложение рассылает текстовые сообщения по всему списку контактов жертвы, подталкивая получателей кликнуть по ссылке и загрузить вредоносную программу. Сообщения составлены на 42 языках, однако внимательный пользователь заподозрит неладное — переводы не отличаются качеством, и зачастую SMS представляют собой бессмысленный набор слов. После установки вредоносного приложения файлы на устройстве жертвы шифруются, а пользователь получает уведомление о необходимости заплатить выкуп — в противном случае все файлы якобы будут стерты спустя 72 часа.

Впрочем, эксперты не обнаружили в коде вымогателя команд на удаление файлов через какое-либо ограниченное время.

Стоит отметить, что шифрование файлов выполнено сравнительно непрофессионально. Во-первых, программа не шифрует большие архивные файлы (более 50 Мб) и маленькие изображения (до 150 Кб). Во-вторых, список распознаваемых программой расширений для шифрования выглядит необычно — в нем фигурируют типы файлов, никак не связанные с ОС Android.

Примечательно, что каждой жертве шифратора назначается уникальная сумма выкупа в пределах 0,01–0,02 биткойна (от 6 до 12 тысяч. руб). На момент публикации профили пользователей, распространявших Android/Filecoder. C на форуме XDA Developers, были удалены. Однако вредоносные ссылки на Reddit все еще доступны. 

Отметим, что пользователи антивирусного решения ESET NOD32 Mobile Security находятся под защитой — антивирус успешно детектирует угрозу и блокирует вредоносные ссылки.

Подробнее об угрозе — в блоге ESET.