Эксперты компании Check Point нашли в официальном списке приложений на Google Play новый смартфонный Android-вымогатель, который получил имя Charger. Этот вирус был обнаружен в приложении под названием EnergyRescue. Зараженное приложение воровало контакты, сообщения SMS, а потом делало запрос прав администратора. Если жертва отдавала разрешение, то Charger ставил на устройство блокировку, отображал сообщение с вымогательством заплатить выкуп.
Угрозы мошенников
Любопытно, что злоумышленники, которые похитили личную информацию жертвы, угрожают, что в случае, если не будет оплачен выкуп, секретная информация будет продана на черном рынке, а после этого она будет использована на рассылки спама, преступлений через банк и т.п.
Мошенники также отмечают, что если им заплатить, то с похищенными данными ничего не произойдет, но, конечно, ни одной причины верить им. Операторы вируса явно стараются запугать, используя слишком много Caps Lock'а, а также уверяют, что в их распоряжении оказывается не простой список контактов, а данные от аккаунта пользователя из социальной сети, информация о счетах и банковских картах.
Некоторые особенности вымогателя
В последнее время специалисты начали называть такие malware, которые требуют деньги и сыплют пустыми угрозами, doxware. Исследователи из Check Point замечают, что Charger отличает от других схожих вирусов. Те полагаются в своей функции на дропперы: установленные приложения из Google Play, обычно, является дроппером, то есть в нем нет никакой вредоносной функции, только запрос на права администратора у жертвы. И только после получения этих прав на зараженный смартфон или планшет загружается основной вымогатель.
В Android-вымогателе Charger, как отмечают специалисты, содержится главный вредоносный код изначально. Но его авторы принимают другие меры безопасности. Так, вирус загружает код динамически, из зашифрованного ресурса. Кроме того, подобный код наполнен бессмысленными командами, что были добавлены туда специально, дабы усложнить процесс работы специалистам по информационной безопасности, скрыть истинные команды.
Плюс ко всему, все строки двоичных массивов получили шифровку, а вирус внимательно проверяет, не стараются ли запускать его на эмуляторе. Исследователи отмечают, что этот вымогатель не атакует россиян, белорусов и украинцев. Как считают эксперты, так авроры вредоносной программы защитились от уголовного преследования в родных государствах или возможности экстрадиции.
