Антивирусная компания ESET обнаружила троян для Android, шифрующий данные на смартфоне и вымогающий деньги у русскоязычных пользователей. После установки на смартфон, вирус сканирует содержимое SD-карты и шифрует все найденные видео, фото и документы. Затем на экран устройства выводится сообщение на русском языке, которое обещает разблокировать устройство за 260 грн. Средства предлагается перевести с помощью украинской платежной системы MoneXy.

В сообщении утверждается, что блокировка смартфона – наказание пользователю “за просмотр и распространение детской порнографии, зоофилии и других извращений”. Также в нем сказано, что в случае неуплаты все данные будут удалены с устройства навсегда.

Вирус получил название Android/Simplocker. Несмотря на то, что во вредоновном ПО вшита функция дешифровки данных, ESET не рекомендует платить «выкуп», так как нет никаких гарантий, что это принесет результат. В Naked Security обнаружили, что ключ шифрования вшит в вирус, поэтому при некоторых усилиях его можно извлечь и использовать для расшифровки файлов.

Файлы, зашифрованные вирусом

Файлы, зашифрованные вирусом Android/Simplocker

Пока неизвестно, каким образом распространяется Android/Simplocker. ESET обнаружила его в приложении Sex .IOnix – эротической хентай-игре, которой нет в Google Play. Поэтому владельцам Android-смартфонов рекомендуют не устанавливать приложения из сторонних источников и отключить эту возможность в настройках, а также установить мобильный антивирус.

Игра Sex Xionix распространяется через сторонние сайты. В Google Play приложения нет, как и в каталоге заявленного разработчика HeroCraft

Есть своя версия Android/Simplocker и для российских пользователей. Принцип действия тот же, но в сообщении причиной блокировки проходит не “клубничка”, а установка нелицензионного программного обеспечения. За разблокировку требуют 1000 рублей, что в пересчете на гривны составляет примерно 338 грн – немного дороже. Кроме того, россиянам дают только 48 часов на “принятие решения” – украинцев же во временные рамки не ставят. Транзакции от российских Android-пользователей принимаются через российскую платежную систему QIWI.

Основатель и руководитель платежной системы MoneXy Юрий Чайка утверждает, что создатели Android/Simplocker опрометчиво избрали для своих махинаций его систему: “Мы постоянно отслеживает операции, и подобные кошельки моментально блокируются, поэтому MoneXy для таких мошеннических схем обычно не используют. Эти, видимо, об этом не знали”, – пояснил он AIN.UA. Он также предположил, что хакеры выбрали MoneXy в Украине, а QIWI в России потому, что в этих системах есть возможность открывать анонимные кошельки.

Специалисты сравнивают Android/Simplocker с популярным трояном Cryptolocker для Windows. Однако, мобильный “вымогатель”, в отличие от своего десктопного “коллеги”, не предлагает никаких полей для ввода реквизитов оплаты – вместо этого он ждет команду с управляющего сервера, размещенного в анонимной сети Tor. На этот же сервер вирус отправляет идентификационную информацию об устройстве.

Кто стоит за созданием вируса, также пока неизвестно. Впрочем, первые SMS-трояны на Android, появившиеся в 2010 году, были также родом из России и Украины. Между тем, Украина — на четвертом месте в мире по количеству зараженных Android-устройств. В сентябре 2013 года Украина уступила третье место России.