Отчет, опубликованный на днях компанией ESET и озаглавленный как «Тренды эволюции вредоносов-шифровальщиков в ОС Android», обеспечивает детальный анализ того, как трояны-вымогатели эволюционировали за минувшие годы в экосистеме Android.

Напомним, что Ransomware, или трояны-вымогатели, — это зловредное ПО, которое в последнее время стало очень распространенным. Его можно разделить на два типа — шифровальщики (cryptoransomware) и блокировщики (blockers).

Шифровальщики, попадая на компьютер, шифруют все ценные данные, в результате чего их нельзя открыть. За расшифровку данных создатели вредоносов требуют выкуп, обычно немалый. Блокировщики же просто полностью блокируют доступ к устройству..

Ниже представлены основные итоги исследования:


График, показывающий число обнаруженных троянов-вымогателей

Основные тенденции в изменении числа обнаруженных троянов-вымогателей, по данным ESET:

  • В 2016 году, злоумышленники, использующие Android ransomware, сместили фокус своих атак с пользователей США на азиатский рынок. Годом ранее, в 2015-м, они переместили свой фокус с Восточной Европы на США.

  • Увеличилось число троянов-вымогателей, которые распространяется через спам-сообщения email.

  • Серьезная угроза – целевые атаки. Но если не брать их во внимание, то большинство троянов-шифрователей, обнаруженных за последний год, были инсталлированы через приложения, загруженные не через официальный магазин ПО Google Play Store.

  • Создатели ransomware начали шифровать вредоносный модуль, чтобы избежать легкого детектирования. Для этого они часто прячут ransomware-модули внутри папки с файлами приложения.

Некоторые вариации Android ransomware стали исключительно сложными бекдор-троянами

Помимо шифрования файлов или блокирования экрана смартфона, Android-вымогатели начали поддерживать другие операции, такие как стирание всех данных на устройстве, сброс PIN-кода блокировки экрана, открытие веб-ссылки в мобильном браузере, GPS-трекинг и и кража персональных файлов.

В большинстве случаев трояны-вымогатели Android коммуницируют с сервером управления по протоколу HTTP. Но случаются и такие экзотические образцы, которые передают информацию серверу через Google Cloud Messaging, Baidu Cloud Push, Tor и XMPP.

Большую часть времени кибермошенники прячут вредоносный код в приложениях «для взрослых», антивирусных приложениях или Adobe Flash Player (поддержка которого была прекращена в 2012 году).

Троян-шифровальщик Jisut показал мощный всплеск активности в 2016 году: число обнаруженных вредоносов увеличилось в 2 раза в сравнении с 2015 годом. Этот рост был вызван выходом Jisut на азиатский рынок, и особенно на рынок Китая.


Хронология развития Android ransomware 

Также отчет ESET содержит короткое техническое описание сегодняшних наиболее распространённых семейств Android-шифровальщиков, таких как Android Defender, Simplelocker, Lockerpin, Jisut, Koler и Locker (известный как Police ransomware), и Charger.

Источник: Bleepingcomputer