كشف بدافزار گروگان‌گير اندرويد با قابليت رمزگذاری فايل‌ها

شماره: IRCNE2014062209
تاريخ:17/03/93

بدافزار گروگان گير جديدي توسط محققان ESET كشف شده است كه قادر است فايل هاي ذخيره شده بر روي كارت حافظه SD دستگاه هاي اندرويد را رمزگذاري نمايد.
اين تهديد جديد با عنوان Android/Simplock.A شناسايي شده است. اين اولين گروگان گيري نيست كه براي دستگاه هاي اندرويد كشف مي شود اما اولين بدافزار گروگان گيري است كه مي تواند با رمزگذاري فايل ها، آن ها را به عنوان گروگان نگه دارد.
بدافزار Android/Simplock.A كارت SD را به منظور يافتنن فايل با هر پسوندي از تصوير، سند يا ويدئو از قبيل jpeg، jpg، gif، pdf ، doc، txt، avi،mkv ، 3gp ، mp4 اسكن مي كند و پس از يافتن فايل ها با استفاده از روش AES آن ها را رمزگذاري مي كند. اين بدافزار سپس پيامي را به زبان روسي مبني بر پرداخت 21.40 دلار از طريق سرويس MoneXy براي قرباني ارسال مي كند.
استفاده از رمزگذاري براي گروگان نگه داشتن فايل ها روشي است كه توسط نيوسندگان بدافزار Cryptolocker ايجاد شده است. Cryptolocker يك برنامه گروگان گير ويندوز است كه بيش از 250000 رايانه را در سه ماهه آخر سال 2013 آلوده كرد.
تهديد جديد در قالب يك برنامه با عنوان "Sex xionix" ظاهر مي شود اما اين برنامه در گوگل پلي وجود ندارد در نتيجه احتمال توزيع آن بسيار كم است. مساله جالب ديگر در رابطه با اين بدافزار آن است كه اين بدافزار از يك آدرس دامنه C&C با پسوند .onion استفاده مي كند. دامنه .onion تنها در درون شبكه Tor براي دسترسي به خدمات پنهان استفاده مي شود.

خبر تكميلي:
با وجود آنكه در اين نرم افزار مخرب، كدهاي مربوط به رمزگشايي فايل‌ها مشاهده مي شود اما گروه امنيتي ESET اعلام كرده‌اند كه هيچگونه تضميني وجود ندارد تا كلاه برداران كد رمزگشايي را براي قرباني ارسال كنند و به كاربران توصيه مي‌كند تا از تمامي فايل‌هاي گوشي خودbackup برداشته و از به روزرساني برنامه‌هاي غيرقابل اطمينان جلوگيري كنند.
براي محافظت از اين بدافزار، به روز رساني آنتي ويروس هاي مربوط به سيستم عامل اندرويد پيشنهاد مي گردد. اين نرم افزارهاي امنيتي قادر به شناسايي اين بدافزار بوده و سيستم را در مقابل اين حملات ايمن مي سازند.‎