ESET, líder v proaktívnej ochrane pred internetovými hrozbami, analyzoval prvý škodlivý kód, ktorý na mobilných zariadeniach s operačným systémom Android šifruje súbory na pamäťových kartách a za ich odblokovanie požaduje výkupné. Takéto hrozby majú všeobecný názov Filecoder.
Hrozba, ktorú ESET deteguje ako Android/Simplocker, vyhľadá na SD karte dokumenty, fotografie a nahrávky a zašifruje ich šifrovacím algoritmom AES. Na infikovanom zariadení zobrazí varovanie v ruštine, ktoré majiteľovi smartfónu alebo tabletu tvrdí, že je zablokované z dôvodu „distribúcie detskej pornografie, zoofílie a iných perverzností“. Ako výkupné má používateľ zaplatiť 260 ukrajinských hrivien (zhruba 16 eur) cez službu MoneyXy. Týmto spôsobom obeť nemôže vystopovať, kto je útočníkom a komu zasiela výkupné.
Hláška obeť ironicky upozorní, aby si z transakcie nezabudol uchovať bloček. Infikované zariadenie má byť odblokované do 24 hodín. V prípade ignorovania výzvy majú byť všetky údaje z mobilného zariadenia vymazané.
Infikovaný mobil alebo tablet zrejme dostane informáciu o zaplatení výkupného z riadiaceho servera, ktorý kontroluje útočník. Zariadenie tiež zašle tomuto serveru svoje identifikačné údaje ako napríklad IMEI číslo. Zaujímavé je, že server sa nachádza v anonymizačnej sieti TOR.
„Naša analýza odhalila, že sa zrejme jedná o proof-of-concept škodlivý kód alebo malware v štádiu vývoja,“ vysvetľuje Róbert Lipovský, analytik škodlivého kódu zo spoločnosti ESET.
Z použitej meny požadovanej od obete je vhodné predpokladať, že táto hrozba bola vyvinutá pre použitie v Ukrajine.„Nie je to prekvapujúce, keďže prvé androidové SMS trójany šírené v roku 2010 pochádzali z Ruska a Ukrajiny,“ dodáva Lipovský.
Používateľom ESET odporúča ochranu v podobe antivírusovej aplikácie určenej pre Android zariadenia, napríklad ESET Mobile Security. Jeho základná verzia je na Google Play k dispozícii zdarma. Majitelia mobilných zariadení by sa tiež mali vyhýbať aplikáciám pochádzajúcim z nedôveryhodných zdrojov alebo obchodov, keďže je u nich vyššia šanca, že budú infikované škodlivým kódom. Pri úspešnej infekcii akýmkoľvek Filecoder trójskym koňom pomôže obeti už len obnovenie zašifrovaných alebo stratených súborov zo zálohy.