V červnu letošního roku se objevila první verze malware Android Simplocker. Uživatele vyděsil zprávou s výčtem prohřešků na obrazovce telefonu, navíc šifroval obsah SD karty v napadeném telefonu.
Informace byly v ruštině, proto se v anglicky mluvících zemích prakticky nevyskytoval.
Tvůrci malware požadovali za odblokování 260UAH / 16 EUR nebo 21USD. V tomto ohledu naši analytici předpovídali, že se jedná o jakýsi proof-of-concept, tedy o testovací provoz.
Nová verze je o propracovanější. Informace jsou v angličtině, proto je pravděpodobné, že se nyní více rozšíří i v anglicky mluvících zemích. Uživatele tak překvapí zpráva, ve které je pod hlavičkou FBI výčet všech trestných činů, včetně sledování dětské pornografie atd.
Výše “výkupného“ je nyní stanovena na 300USD, což je znatelně více než v první verzi. K placení lze použít MoneyPack oucher.
V čem je tato varianta jiná? Byl použit jiný šifrovací klíč, který je určen k šifrování souborů. Z našeho pohledu jsou ale zajímavé další schopnosti tohoto malware.
Kromě schopností šifrovat obrázky, dokumenty a videa na SD kartě je nově schopen zašifrovat i soubory archivů (ZIP, 7z a RAR).
Mnoho zálohovacích programů pro Android používá právě tyto typy archivů k provedení zálohy telefonu. Uživateli se tak může stát, že bude mít zašifrovaná nejen data, ale i soubory, které lze použít při obnově.
Další věcí je instalace Simplockeru s právy Device Administrator (správce zařízení). Tím se chrání před odinstalací. Uživatel nejprve musí aplikaci odebrat práva Device Administrator, a pak teprve lze aplikaci odinstalovat. A to jde s uzamčenou obrazovkou dost těžce.
K instalaci používá Simplocker sociální inženýrství, maskuje se např. jako instalace Flash Video player.
V případě, že své zařízení nakazíte tímto kouskem malware, můžete využít aktualizovanou aplikaci ESET Simplocker Decryptor. A dávejte pozor na aplikace, které vyžadují oprávnění administrátora. Ke stažení aplikace můžete využít QR kód.