SimpLocker- תוכנת כופר ראשונה להצפנת קבצים לאנדרואיד

SimpLocker- תוכנת כופר ראשונה להצפנת קבצים לאנדרואיד

צוות תמיכה ESET ישראל
08.06.14

בשבוע שעבר נתקלו חוקרי מעבדת הווירוסים של ESET בתגלית מעניינת, אם כי צפויה, בתחום האיומים למערכת ההפעלה הסלולרית – תוכנת כופר ראשונה לאנדרואיד שמסוגלת להצפין קבצים המאוחסנים בזיכרון המכשיר.
לפני קרוב לשנה, הקולגות שלנו בסימנטק חשפו את ה Android Defender – איום לאנדרואיד המשלב שני סוגים של מתקפה: אנטי וירוס מזויף ותוכנת כופר (מהסוג שנועל את המסך בניגוד לתוכנת כופר שמצפינה קבצים). האיום הזה הכיל בתוכו את כל התכונות המאפיינות תוכנת אנטי וירוס מתחזה ובנוסף לכך את כל התכונות המאפיינות תוכנת כופר לנעילת מסך. הסרת האיום לא הייתה פשוטה, והיא חייבה את המשתמשים לאתחל את המכשיר שלהם ב'מצב בטוח'.

לפני כחודש נחשף צעד נוסף בשרשרת האבולוציה של תוכנות הכופר לאנדרואיד בצורה של תוכנה לנעילת מסך משולבת עם הודעה משטרתית, כביכול, לפיה המשתמש ביצע פעילות לא חוקית וכדי לשחרר את המכשיר עליו לשלם קנס. שוב, היה זה שלב נוסף בהגירה של האיומים מ Windows לאנדרואיד - אותו איום, למרות שקיבל חשיפה תקשורתית אדירה ואפילו הושווה ל CryptoLocker הידוע לשמצה, מזוהה על ידי חברות האבטחה בשם Koler והוא אפילו אינו מתקרב ליכולותיו של ה CryptoLocker והוא אינו מצפין קבצים כלל.

כעת גילו החוקרים במעבדת הווירוסים של ESET את מה שהוא ככל הנראה השלב הבא והמשמעותי ביותר בהתפתחות תוכנות הכופר לאנדרואיד – ה SimpLocker. לאחר שהצליח לחדור לסמארטפון מבוסס אנדרואיד, האיום הזה סורק את זיכרון המכשיר אחר קבצים מסוימים, מצפין אותם ודורש כופר עבור הסרת ההצפנה.

בואו נסתכל על זה בפירוט רב יותר:אחרי הפעלת הקוד הזדוני, ה SimpLocker יציג את הודעת הכופר הבאה על מסך המשתמש:

post 99 1

הודעת הכופר כתובה ברוסית ודורשת שהתשלום יעשה במטבע האוקראיני הרביניה, אז סביר להניח שהאיום ממוקד נגד אזור זה. זה לא מפתיע, ראשית דרכו של האיום הראשון מסוג ה SMS Trojans, אשר רושם את קורבנותיו לשירותי SMS בתשלום ללא ידיעתם, הופץ באופן דומה ובאותו איזור. מאוחר יותר הפכן ה SMS Trojans לאיום הנפוץ והמכניס ביותר למערכת ההפעלה אנדרואיד.

זהו תרגום חופשי של הודעת הכופר:
אזהרה, המכשיר שלך נעול!
המכשיר נעול כיוון שנעשה בו שימוש לצפייה והפצה של פדופיליה, זואופיליה ותוכן סוטה אחר.
כדי להסיר את ההצפנה עליך לשלם 260 UAH.
1. מצא את הקיוסק הקרוב ביותר אליך בו ניתן לבצע תשלומים.
2. בחר ב MoneXy
3. הזן ... [הוסר]
4. בצע הפקדה של 260 הריבניה, ולחץ על "שלם".
אל תשכח לקחת קבלה!
עד 24 שעות לאחר התשלום תוסר הנעילה ממכשירך.
במקרה של אי תשלום אתה תאבד את כל המידע השמור על המכשיר שלך!

הנוזקה מכוונת את הקורבנות לשלם באמצעות שירות התשלום MoneXyמסיבה ברורה – השירות מאפשר העברת כספים במזומן בצורה אנונימית לחלוטין ולא ניתן להתחקות אחריהן בקלות כפי שניתן להתחקות אחר תשלומים שבוצעו בכרטיס אשראי. 260 הריבניה זה כ 16 יורו או 21 דולר אמריקאי. לאחר מכן ה SimpLocker יסרוק את כרטיס הזיכרון אחר קבצי תמונה או וידאו בעלי הסיומות jpeg, jpg, png, bmp, gif, pdf, doc, txt, avi, mkv, 3gp, ו- mp4 ויצפין אותם בתקן ההצפנה AES.

post 99 2

ה SimpLocker גם אוסף מידע מזהה אודות המכשיר (כמו מספר ה IMEI) ושולח אותו לשרת השליטה שלו. שרת השליטה עצמו מאוחסן ברשת האנונימית TOR.onion למטרת הגנה ושמירה על האנונימיות של יוצרי המתקפה.

כפי שניתן לראות בהודעת הכופר, הקורבן אינו יכול לבצע את התשלום ישירות מהמכשיר והוא לא נדרש להזין לאמת קוד כלשהו לאחר ביצוע התשלום – כפי שראנו בדוגמאות מוקדמות יותר של תוכנות כופר ב Windows.

הדגימה שחקרנו הגיעה אלינו בצורה של אפליקציה הנקראת "Sex xionix". היא לא נמצאת ב Google Play ואנחנו מעריכים שהתפוצה שלה היא די נמוכה כרגע. עם זאת, הניתוח שערכנו לאותה דגימה הראה לנו שאנחנו קרוב לוודאי מתעסקים עם אב טיפוס או פרויקט שעדין נמצא בעבודה – כראיה לכך יכולנו לראות שיכולות ההצפנה של הנוזקה לא מתקרבות ליכולות של אותו ה CryptoLocker הידוע לשמצה, אך למרות זאת האיום הזה עדיין מסוכן והוא לגמרי מסוגל להצפין קבצים במכשירי אנדרואיד – שעלולים להימחק לנצח ללא מפתח ההצפנה.

מה עם הקורבנות?

למרות היכולת להצפין קבצים – שעלולים להיות יקרים או חשובים – אנחנו בפירוש לא ממליצים למי שנפל קורבן לתוכנות הכופר למיניהן לשלם את הכופר הנדרש. ראשית, תשלום הכופר רק יעודד את הפושעים מאחוריהן להוציא עוד ועוד מתקפות כאלה אל הפועל ושנית, מדובר ב"מילה של פושע" ואין שום ערובה לכך שאכן תקבלו את הקבצים שלכם בחזרה – גם אם שילמתם.

הקדימו תרופה למכה

תוכנות כופר כבר כאן. הן עדיין לא נפוצות באנדרואיד כמו במערכות ההפעלה של המחשבים הביתיים אך זה רק עניין של זמן. אנחנו ממליצים בחום למשתמשים לאמץ כבר מעכשיו אמצעי מניעה ושיגנו עליכם מתוכנות הכופר:

ראשית, התקינו אפליקציית אבטחה על המכשיר. חברת ESET מציעה את הגרסה הבסיסית אפליקציית האבטחה שלה לאנדרואיד בחינם ואתם יותר ממוזמנים להתקין אותה. שנית, הקפידו על כללי אבטחה בסיסיים כמו הימנעות מאפליקציות מחוץ ל Google Play, להימנע מלחיצה על לינקים מפוקפקים ברשתות החברתיות ובחשבונות דואר אלקטרוני. ושלישית, דאגו לבצע גיבוי תקופתי על כל המידע שמאוחסן לכם על המכשיר – כך, גם אם בכל זאת נפלתם קורבן לתוכנת כופר, תוכלו תמיד לשחזר את המידע שלכם מתוך הגיבוי.

post 99 3

ניתן גם לשתף חבר >
  • הדפס
  • דוא"ל