Лаборатория Касперского обнаружила первого мобильного троянца, нацеленного на шифрование списка контактов пользователя. Зловред, детектируемый защитными продуктами компании как Cokri, делает нечитаемыми телефонные номера и адреса электронной почты, внесенные в список контактов на Android-смартфонах. За восстановление доступа к зашифрованным данным вредоносная программа требует выкуп, в противном случае угрожает уничтожить всю контактную информацию.
Пользователь и правда рискует пострадать от действий этого зловреда, даже несмотря на то что в действительности троянец не осуществляет шифрования данных. Программа просто переводит каждую строку с контактами в массив байт и записывает в шестнадцатеричном виде. Тем не менее в коде предусмотрена возможность для будущего шифрования методом простейшей операции XOR.
Уведомление о блокировке устройства с требованием выкупа, которое появляется на экране смартфона после заражения, можно отключить, нажав кнопку «Домой», однако оно постоянно будет всплывать до тех пор, пока зловред не будет удален с устройства. Помимо этого вредоносная программа выключает звук на телефоне и блокирует все попытки совершить звонок.
В ходе изучения зловреда, эксперты обнаружили большое количество отладочных строк и многочисленные недоработки в функционале. К примеру, для разблокировки телефона и восстановления контактов пользователю нужно ввести пароль, однако в программе пока не предусмотрен способ получения этого пароля пользователем и непонятно, планируют ли хакеры это делать в дальнейшем. Все это говорит о том, что троянец пока находится на стадии доработки.
«Скорее всего, новые версии троянца Cokri будут по-настоящему шифровать контакты, связываться по Интернету с командным центром и воровать входящие сообщения. Однако уже сейчас, даже в таком виде, эта программа представляет опасность для пользователей», – отмечает Антон Кивва, антивирусный аналитик «Лаборатории Касперского».
Пользователь и правда рискует пострадать от действий этого зловреда, даже несмотря на то что в действительности троянец не осуществляет шифрования данных. Программа просто переводит каждую строку с контактами в массив байт и записывает в шестнадцатеричном виде. Тем не менее в коде предусмотрена возможность для будущего шифрования методом простейшей операции XOR.
Уведомление о блокировке устройства с требованием выкупа, которое появляется на экране смартфона после заражения, можно отключить, нажав кнопку «Домой», однако оно постоянно будет всплывать до тех пор, пока зловред не будет удален с устройства. Помимо этого вредоносная программа выключает звук на телефоне и блокирует все попытки совершить звонок.
В ходе изучения зловреда, эксперты обнаружили большое количество отладочных строк и многочисленные недоработки в функционале. К примеру, для разблокировки телефона и восстановления контактов пользователю нужно ввести пароль, однако в программе пока не предусмотрен способ получения этого пароля пользователем и непонятно, планируют ли хакеры это делать в дальнейшем. Все это говорит о том, что троянец пока находится на стадии доработки.
«Скорее всего, новые версии троянца Cokri будут по-настоящему шифровать контакты, связываться по Интернету с командным центром и воровать входящие сообщения. Однако уже сейчас, даже в таком виде, эта программа представляет опасность для пользователей», – отмечает Антон Кивва, антивирусный аналитик «Лаборатории Касперского».
