Ransomware: как вымогатели блокируют смартфоны и что с этим делать Андрей Васильков

Ransomware: как вымогатели блокируют смартфоны и что с этим делать

Андрей Васильков

Опубликовано 07 мая 2014

Если какой-то алгоритм оказывается удачным, то рано или поздно его реализуют на других платформах. Именно это и произошло недавно со схемой блокирования устройств, известной в народе по семейству троянов Winlock. Принцип их действия был использован для того, чтобы вымогать деньги у владельцев гаджетов с ОС Android и iOS.

_{Троян-блокировщик для мобильных устройств (изображение: bitdefender.com).}

На всех смартфонах и планшетах общая схема вымогательства одинакова — различаются лишь технические детали. В какой-то момент на экране жертвы оверлеем отображается требование мошенников перечислить деньги на счёт.

В противном случае устройство останется заблокированным якобы «за просмотр порнографии» или другие мнимые нелегальные действия.

Прелесть ситуации в том, что мошенники умело запугивают пользователей, отображая разный текст сообщений на основе географического положения владельца (оно определяется по IP-адресу).

Абоненты из США увидят баннер с эмблемой FBI и портретом Барака Обамы, застывшего в обличительном жесте. Перед жителями других стран предстанет баннер с символикой местных спецслужб. На детей и даже некоторых взрослых это производит сильное впечатление.

Авторы троянов Winlock (Ransomware) обычно ограничивались мелким вымогательством, но, по данным Symantec, это обеспечивает им ежегодный доход около $5 млн.

Для мобильных пользователей ставки выросли. Мошенники требуют уже по $300 за разблокировку смартфона, которая в большинстве случаев ещё и не происходит либо становится лишь временным решением проблемы. Зачем отпускать того, кто уже однажды заплатил?

На устройствах с ОС Android вредоносная программа делает невозможным использование домашнего экрана и большинства установленных приложений. Для восстановления функциональности предлагается перечислить деньги через такие платёжные системы, как Paysafecard или Ukash.

Старший аналитик Bitdefender Богдан Ботезату (Bogdan Botezatu) так описывает способ заражения и методику ручного удаления трояна:

«Главным компонентом вредоносной программы является браузерный баннер, отображаемый в полноэкранном режиме поверх интерфейса других приложений. Он загружается при просмотре заражённых сайтов, на которых троян распространяется под видом медиаплеера.

Пользователь соглашается на его установку и вдруг видит полноэкранное предупреждение о блокировке. Если нажать кнопку “Домой”, то у пользователя будет примерно пять секунд, чтобы выполнить нужные действия. По истечении этого срока встроенный таймер вновь переключит дисплей на показ блокировщика.

Мне удалось быстро вытащить ярлык настроек на главный экран и удалить троян через обычное меню установки/удаления приложений. В моём случае значок деинсталляции должен был располагаться в первом ряду, так как другая область экрана оставалась недоступной».

Мошенники быстро осваивают новые рынки. О случаях заражения мобильными блокировщиками уже сообщают из США, Великобритании, Германии, Италии, Польши и Объединенных Арабских Эмиратов.

По информации компании «Доктор Веб», в мае участились случаи аналогичного блокирования смартфонов и планшетов Apple. Разница лишь в том, что мобильные устройства под управлением iOS даже не требуется троянить. Вся схема работает на жадности пользователей, используя для вымогательства методы социальной инженерии и официальный сервис блокировки утерянных гаджетов.

_{Блокировка iPhone (изображение: apple.com).}

Как известно, для совершения покупок в магазине приложений App Store и загрузки платного мультимедийного контента с iTunes используется персональный идентификатор учётной записи — Apple ID. Зарегистрировавшись однажды, через него можно получать доступ ко всем ранее сделанным покупкам на любом устройстве Apple.

Если же владелец потерял свой iPhone (iPad, iPod), то он может удалённо заблокировать утраченный гаджет через тот же идентификатор при помощи сервиса Find My iPhone.

Мобильные устройства Apple считаются статусным атрибутом и часто становятся подарком для детей и подростков, которые быстро открывают для себя мир платных развлечений. Как правило, денег у них на это нет, поэтому новоиспечённые «яблочники» начинают искать в интернете способы воспользоваться играми бесплатно, а заодно скачать побольше музыки и фильмов, не покупая их.

Кто ищет, тот всегда найдёт — вот только не факт, что находка в итоге обрадует. На одном из форумов потенциальные жертвы приобретают у злоумышленников чужой Apple ID за символическую сумму. Мошенники обещают «передать в аренду» доступ к учётной записи, владелец которой якобы уже купил сотни приложений, игр и половину контента iTunes.

Поначалу всё происходит как обещано: за небольшую плату человек действительно получает Apple ID. Как только он регистрируется на серверах Apple под этой учётной записью со своего мобильного устройства, злоумышленники отслеживают факт привязки нового гаджета и блокируют его через фирменный сервис как утраченный. К этому моменту пароль от проданного идентификатора меняется, а жертве демонстрируется на экране требование перечислить серьёзную сумму для разблокирования устройства.

Пользоваться таким смартфоном или планшетом уже не получится. Здесь не спасут нажатия на кнопки и быстрая реакция – iOS действительно неплохо защищена от многих угроз, кроме наивности пользователя. Если ранние версии ещё позволяли выполнить перепрошивку при блокировке, то начиная с iOS 7 её мало кому удастся выполнить штатным способом. Для этого потребуется сначала обратиться в авторизованный сервисный центр, позвонить в службу поддержки, предъявить чек и паспорт, после чего последуют долгие объяснения и неминуемое признание в использовании чужой учётной записи.

Для защиты от этих мошеннических схем не требуется антивирус, хотя он и поможет уберечь вас от других неприятностей. Достаточно не устанавливать приложения из сомнительных источников и пользоваться только своим Apple ID.

К оглавлению