Поделиться
Более 16 тыс. человек стали жертвами мобильного трояна-шифровальщика личных данных
Эксперты «Лаборатории Касперского» обнаружили новую модификацию мобильного банковского трояна Faketoken, которая способна не только блокировать экран устройства, вымогая деньги, но и шифровать с этой же целью файлы пользователя. Под видом разных игр и программ, включая AdobeFlash Player, зловред крадет информацию из более чем 2 тыс. финансовых приложений для Android, сообщили CNews в «Лаборатории Касперского». По данным компании, жертвами Faketoken стали свыше 16 тыс. человек в 27 странах. В основном это пользователи из России, Украины, Германии и Таиланда.
По мнению специалистов «Лаборатории Касперского», способность зашифровывать информацию нетипична для банковского трояна. Большинство мобильных зловредов-вымогателей блокируют само устройство, а не данные на нем, потому что те обычно хранятся еще и в «облаке». Faketoken же зашифровывает именно данные, причем как документы, так и медиафайлы (изображения, музыку и видео). Троян использует алгоритм симметричного шифрования AES, что оставляет пользователю шанс на расшифровку данных без уплаты выкупа.
«Дело в том, что в этом алгоритме для кодирования и декодирования информации применяется один и тот же криптографический ключ, который остается на устройстве после шифрования. К тому же, из-за популярности AES существует большое количество программ для зашифровки и расшифровки с его помощью», — пояснили в компании.
При заражении устройства троян запрашивает права администратора, право перекрывать окна других приложений или стать приложением по умолчанию для работы с SMS. В случае отказа диалоговое окно перезапускается снова и снова, поэтому часто пользователь просто вынужден согласиться.
Троян крадет данные практически на любом языке: после того, как права получены, зловред загружает базу с фразами на 77 языках для разных локализаций устройства. Faketoken использует эти фразы, чтобы генерировать фишинговые сообщения и воровать пароли от аккаунтов Gmail. Также он способен перекрывать окно Google Play Store для кражи данных банковской карты жертвы.
«Последняя модификация Faketoken интересна тем, что некоторые из новых возможностей не дают ощутимой выгоды для злоумышленника. Выигрыш от функции шифрования сомнителен, потому что обычно у пользователя есть резервная копия данных в “облаке”. Это не значит, что стоит пренебрегать такими изменениями: возможно, они рассчитаны на неопытных пользователей, которые готовы не задумываясь заплатить выкуп. К тому же, модификация может быть базой для будущего усовершенствования трояна, этапом на пути развития постоянно эволюционирующего и успешного семейства зловредов. Рассказывая об угрозе, мы помогаем людям сохранить свои устройства и данные в безопасности», — прокомментировал ситуацию антивирусный эксперт «Лаборатории Касперского» Роман Унучек.
«Лаборатория Касперского» обнаружила несколько тысяч установочных пакетов Faketoken, способных шифровать данные. Самый ранний из них относится к июлю 2016 г. Защитные продукты компании распознают и блокируют все модификации троянов семейства Faketoken.
Поделиться
Короткая ссылка
