Az ESET mérnökei által most felfedezett új zsarolóprogram a szakemberek szerint az eddigi legveszélyesebb mobilos vírus. Az Android/Simplocker névre keresztelt, értelemszerűen Androidon terjedő új trójai miután feljut az eszközökre, beolvassa a memóriakártya teljes tartalmát, majd titkosítja az adatokat, és csak váltságdíj fizetése után hajlandó ezeket visszaállítani. Amint a trójainak sikerül felkerülni egy készülékre, egy zsaroló üzenetet küld, miközben a háttérben már titkosítja a fájlokat. Az Android/Simplocker.A malware az SD kártyán található összes jpeg, jpg, png, bmp, gif, pdf, doc, docx, txt, avi, mkv, 3gp, mp4 kiterjesztéssel rendelkező képet, dokumentumot és videót megkeresi, majd AES (Advanced Encryption Standard) kódolási eljárás használatával titkosítja azokat. Az orosz nyelven megírt zsaroló üzenet a váltságdíjat ukrán nemzeti valutában, hrivnyában kéri. Ez nem meglepő, hiszen az első SMS-en keresztül terjedő androidos trójai is Oroszországból és Ukrajnából indult útjára még 2010-ben.
Az üzenet nyers fordítása a következő:
„Figyelem! A telefonját zároltuk! A készüléket lezártuk, mivel azon gyerekpornót, állatokkal való közösülést és egyéb perverz videókat néztek és terjesztettek. A készülék feloldásához 260 UAH megfizetése szükséges.
1. Keresse meg a legközelebbi fizetési lehetőséget.
2. Válassza a MoneXy-t.
3. Üsse be (kitakarva).
4. Utaljon 260 hrivnyát a megadott számlaszámra.
Ne felejtsen el számlát kérni! Fizetés után 24 órával a készülékét feloldjuk. Abban az esetben, ha nem fizet, készülékéről minden adatot törlünk!”
A malware az áldozatot a MoneXy szolgáltatás használatára kéri, nyilvánvalóan azért, mert a hagyományos hitelkártyához képest itt sokkal nehezebben nyomon követhető az utalás útvonala. A 260 ukrán hrivnya nagyjából 16 eurónak, illetve közel 5000 forintnak megfelelő összeg. A trójai emellett a készülék azonosításra alkalmas információkat is begyűjt az adott eszközről (például IMEI kód és hasonlók), amit aztán továbbít az üzemeltetőknek.
Miután az áldozat kifizette a kért összeget, a korábbi windowsos zsarolóprogramoktól eltérően nem jelenik meg egy fizetési kódot bekérő mező vagy ehhez hasonló beviteli felület, hanem ehelyett a távoli szerver parancsára vár, amely a tényleges kifizetés nyugtázása után automatikusan fogja feloldani a készüléket.
Mi a megoldás?
Az ESET elemzése kimutatta, hogy egy vadonatúj módszerrel dolgozó kártevőről van szó. A malware sajnos valóban képes titkosítani a megtámadott felhasználó fájljait, és mivel maga a kártevő nem tartalmaz visszafejtési funkciókat, így állományaink véglegesen elveszhetnek, ha a titkosítási kulcsot nem sikerül letölteni. Ennek ellenére a biztonsági cég nem javasolja a fizetést az áldozatoknak, hiszen egyrészt nincs semmilyen garancia arra, hogy a csalók tényleg feloldják majd a titkosítást a fizetés után. Másrészt pedig az esetleges fizetéssel csak bátorítjuk a bűnözőket a hasonló cselekményekre. A hangsúlyt elsősorban a megelőzésre kell tennünk, próbáljuk megelőzni a hasonló fenyegetéseket megfelelő mobileszköz-védelem használatával. Emellett pedig készítsünk rendszeresen biztonsági mentéseket külső adathordóra a telefonunkon található személyes tartalmakról, így csökkentve a hasonló támadások okozta kellemetlenségeket, illetve adatvesztést.
