Μια νέα παραλλαγή του Simplocker, το πρώτο ransomware που εμφανίστηκε για συσκευές Android, κυκλοφορεί αυτή τη στιγμή, αναφέρουν ερευνητές ασφάλειας.
Η πρώτη έκδοση του κακόβουλου λογισμικού ανακαλύφθηκε το 2014 από την ESE και την Kaspersky. Αν και κυκλοφόρησαν πολλές εκδόσεις στο διαδίκτυο, όλες χρησιμοποιούσαν μια μέθοδο κρυπτογράφησης που επέτρεπε στους ερευνητές ασφαλείας να έχουν ένα αντίδοτο σε πολύ σύντομο χρονικό διάστημα.
Η τελευταία έκδοση όμως, φαίνεται να είναι πολύ εξελιγμένη, σύμφωνα με τους ερευνητές από το Avast, οι οποίοι διαπίστωσαν ότι δεν μπορεί να βρεθεί πλέον κάποια λύση αποκρυπτογράφησης των δεδομένων της μολυσμένης συσκευής, η τουλάχιστον δεν είναι εύκολη υπόθεση.
Ωστόσο πάνω από 5.000 μοναδικοί χρήστες έχουν μολυνθεί μόλις λίγες ημέρες μετά την κυκλοφορία της νέας έκδοσης.
Οι προηγούμενες εκδόσεις του κακόβουλου λογισμικού χρησιμοποιούσαν ένα μοναδικό κλειδί για να κλειδώνουν τα αρχεία στις συσκευές των θυμάτων.
“Η νέα παραλλαγή όμως, κλειδώνει κάθε συσκευή με ένα “διαφορετικό κλειδί”, κάτι το οποίο καθιστά αδύνατη την παροχή μια λύσης που μπορεί να ξεκλειδώσει τη μολυσμένη συσκευή, γιατί αυτό απαιτεί να ανακαλυφθούν όλα τα διαφορετικά κλειδιά που χρησιμοποιεί” αναφέρει ο Nikolaos Chrysaidos της Avast.
Η διάδοση του Simplocker γίνεται με την κοινή μέθοδο απόκρυψης του malware σε ένα νόμιμο πρόγραμμα για την κινητή πλατφόρμα.
Σύμφωνα με τους ερευνητές, το κακόβουλο δείγμα χρησιμοποιεί σαν μεταμφίεση το Flash Player. Οι εγκληματίες του κυβερνοχώρου προβάλλουν διαφημίσεις που ενημερώνουν το υποψήφιο θύμα που χρειάζεται να ενημερώσει το Flash Player, οδηγώντας τον κάθε ευκολόπιστο σε μια κακόβουλη ιστοσελίδα για την λήψη.
Σύμφωνα με την ανάλυση της Avast, το κακόβουλο λογισμικό ζητά προνόμια διαχειριστή, διασφαλίζοντας ότι θα είναι πολύ δύσκολο να αφαιρεθεί από τη συσκευή.
Το μήνυμα για τα λύτρα ισχυρίζεται ότι είναι μια ειδοποίηση από το FBI που αναφέρει ότι η συσκευή περιέχει ύποπτα αρχεία που παραβιάζουν πνευματικά δικαιώματα. Φυσικά τα δεδομένα της συσκευής έχουν ήδη κρυπτογραφηθεί και θα ξεκλειδωθούν αν ο ιδιοκτήτης καταβάλει 200 ευρώ.
Η εταιρεία ασφαλείας αναφέρει ότι η τρέχουσα έκδοση του Simplocker συνδέεται με το διακομιστή διοίκησης και ελέγχου κάθε μια ώρα, χρησιμοποιώντας το πρωτόκολλο επικοινωνίας XMPP. Κατά την πρώτη επαφή με το διακομιστή το κακόβουλο λογισμικό στέλνει δεδομένα όπως το IMEI, την έκδοση του λειτουργικού συστήματος, το όνομα του φορέα, τον αριθμό τηλεφώνου και τη χώρα.