Новый Android-вымогатель обходит все существующие антивирусы

«Одним из векторов атак стало легитимное приложение «Одноклассники», скачанное почти 100 тыс. раз. Вызывает опасения тот факт, что вредоносный компонент может просочиться на официальный Google Play.

В течение четырех часов после заражения зловред не проявляет никаких признаков активности, чтобы не попасть на радары антивирусных программ, пока вредоносный файл не будет исполнен в системе. Как только зловред установлен, пользователь видит всплывающее уведомление о добавлении дополнительного администратора устройства.

При этом жертва не может отказаться или удалить приложение. Как только пользователь нажимает кнопку «Активировать», экран смартфона блокируется и появляется записка с требованием выкупа на русском языке. Ее текст гласит, что устройство заблокировано, а все данные зашифрованы и перенесены на сторонний сервер за «посещение, просмотр и хранение» запрещенных материалов.

Вымогатели требуют внести 500 рублей за 12 часов через терминал Qiwi, в противном же случае злоумышленники грозятся отправить всем контактам жертвы сообщение о том, что ее смартфон был заблокирован «за просмотр детского порно». Попытка разблокировать устройство без выкупа якобы приведет к удалению всех содержащихся в нем данных.

Проверив образец зловреда, аналитики, однако, не нашли свидетельств слива данных на какой-либо сервер. Кроме того, уплата выкупа не приводит к разблокированию смартфона: при блокировке смартфона командный сервер получает сообщение о новой жертве, но в его коде не предусмотрен механизм подтверждения уплаты выкупа и последующего разблокирования.

Автор зловреда использовал автоматический метод заражения легитимного приложения. Для обхода антивируса разработчик тщательно обфусцировал код, чтобы обойти как статические, так и динамические методы детектирования.

Адрес C&C-сервера зашифрован при помощи устойчивого алгоритма AES, а сам код весьма трудно понять, так как имена методов, переменных и классов объектов очень хорошо замаскированы. Большинство методов активируются при помощи техники отражения Java, чтобы обойти защитные системы, использующие статический анализ. Кроме того, в течение первых часов зловред залегает на дно, чтобы обойти методы динамического детектирования, реализованные в большинстве антивирусов.

Для того чтобы удалить блокер со смартфона, необходимо включить устройство в безопасном режиме и деактивировать администраторские привилегии у зловреда. Затем нужно удалить приложение и перезагрузить устройство в нормальном режиме.»