Обнаружены новые модификации трояна-локера Simplocker

Эксперты обнаружили новые модификации трояна-локера Simplocker, атакующего мобильные устройства на базе Android. По данным компании, наибольшее распространение троян получил в России и Украине. Simplocker – первый троян-вымогатель для смартфонов и планшетов на Android, способный шифровать файлы пользователя.

Новые модификации Simplocker отличаются друг от друга рядом признаков:
(*) некоторые варианты используют для связи с командным сервером обыкновенные домены, другие – домены .onion, принадлежащие анонимной сети TOR;
(*) обнаружены различные пути передачи команды decrypt, которая сигнализирует о факте получения выкупа злоумышленниками;
(*) используются разные интерфейсы окон с требованием выкупа и различные валюты (рубль и гривна);
(*) некоторые модификации используют в сообщении о блокировке фотографию пользователя, сделанную на встроенную камеру устройства;
(*) вопреки обещанию мошенников, несколько версий Simplocker не шифруют файлы, а просто блокируют устройство.

Вместе с этим в большинстве модификаций используется упрощенный подход к шифрованию с использованием алгоритма AES и жестко зашитого ключа. Чаще всего хакеры маскируют троян под приложение с порнографическим контентом или популярную игру, например, Grand Theft Auto: San Andreas. Simplocker распространяется также посредством загрузчика (downloader), который удаленно устанавливает основной файл трояна.