Open Source Ransomware: popularny androidowy szkodnik na GitHubie

Na chwilę o zagrożeniach związanych z ransomware ucichło, alestan ten nie potrwa długo. Mobilny szkodnik SLocker, który wsławiłsię ostatnio podszywaniem pod znany z windowsowych desktopówWannaCry, trafił w postaci kodu źródłowego na GitHuba. OpenSource Ransomware? Nic z tego, to po prostu owoc udanej dekompilacjipewnego hakera, podpisującego się jako fs0c1ety. Autor dekompilacjiwzywa oczywiście do używania kodu w sposób odpowiedzialny…

Badacze z Trend Micro donoszą,że liczba mutacji SLockera w ostatnim półroczu wzrosłasześciokrotnie. Co się stanie, gdy szkodnik zacznie być rozwijanyna GitHubie? Do tej pory funkcjonował jako narzędzie do blokowaniaekranu i szyfrowania plików na urządzeniach z Androidem, który odstrony wizualnej często przedstawiał się komunikatem od „organówścigania” za np. piractwo czy oglądanie pornografii, oferującmożliwość odblokowania dostępu po zapłaceniu „grzywny”.

Dwa lata temu, jedna z mutacji szkodnika, oznaczana jakoTrojan:Android/SLocker.A, zdobyła sporą popularność, infekująctysiące smartfonów w USA i Europie Zachodniej – wektorem infekcjibyły witryny pornograficzne, które oferowały naiwnym widzommożliwość obejrzenia niezwykłych rzeczy po pobraniu izainstalowaniu „kodeka”. Chwilę później „kodek” żądałzapłacenia kary w wysokości 500 dolarów poprzez usługi MoneyPaklub PayPal MyCash.

Tamta wersja nie umiała szyfrować plików, jej ręczne usunięcieprzywracało dostęp do urządzenia. Z czasem jednak szkodnik dorobiłsię nowych funkcjonalności i dzisiaj, po zainstalowaniu, uruchamiasię w tle i po cichu szyfruje zdjęcia, klipy wideo i dokumentyznajdujące się w pamięci masowej smartfonu. Po zaszyfrowaniudostajemy oczywiście komunikat o możliwości zapłacenia okupu. Dotego SLocker.A pozwala wykorzystać smartfon jako końcówkębotnetu, dorobił się mechanizmu zdalnego sterowania przezdziałające w sieci Tor serwery dowodzenia i kontroli.

Nie jest to pierwszy upubliczniony kod mobilnego szkodnika. Wzeszłym roku IBM X-Force poinformowałoo rozpowszechnianym przez MMS-y szkodniku GM BOT, którego kodpojawił się dostępny za darmo na jednym z popularnych hakerskichforów. Wkrótce po tym ulepszona wersja GM BOT-a, Mazar BOT, dałasię we znaki użytkownikom na Bliskim Wschodzie. W tym zaś roku Dr.Web trafił na kod źródłowy BankBota, trojana zaprojektowanego zmyślą o wykradaniu pieniędzy użytkowników bankowych aplikacjimobilnych, głównie z Turcji, Rosji i Ukrainy. I w tym wypadkuszybko pojawiły się liczne ulepszone mutacje.

Trzeba podkreślić, że zabezpieczyć się przed takimiszkodnikami bardzo łatwo. W większości wypadków rozpowszechniająsię one poprzez uzłośliwone pliki APK, które użytkownik sam musizainstalować, sam wyrażając zgodę na to, by zostać ofiarąszkodnika. Nic dziwnego, że prawdziwe żniwa mają one w krajach,gdzie poziom edukacji technicznej jest niewysoki. Jeśli chceciecałkowicie uniknąć ryzyka zarażenia czymś takim, po prostuwyłączcie opcję instalacji oprogramowania spoza Google Play – inigdy jej nie włączajcie. A potem nie instalujcie dziwnychaplikacji z Google Play, w jego zakamarkach można bowiem też czasemtrafić na malware.

Zainteresowani kodem źródłowym SLockera znajdą go w repozytorium na GitHubie – a więc git clone https://github.com/fs0c1ety/SLocker.git.