Съобщението за откуп на Cerber засечено в две приложения за Android

Изследователите на зловреден софтуер наскоро забелязаха съобщението за откуп на Cerber в програмния код на две приложения за Android. Приложенията Accechiamoli и ForzaFò, които съдържат небезивестния файл README.hta могат да бъдат изтеглени директно от Google Play store. Това откритие е притеснително и плашещо, тъй като явно създателите на опасен зловреден софтуер са решили да разширят целевата си област. И все пак, можем да кажем, че това не е проблем. Няма стартрусът все още е опасен единствено за операционна система Windows OS. Затова феновете на италианския футболен клуб Italian Foggia Calcio не трябва да се притесняват от заразяване с рансъмуер.

Екипът за сигурност на ESET сканира тези две приложения в търсене на опасния „полезен товар“ на Cerber. Те не откриха нищо съмнително и потенциално опасно за Android устройствата. Скенерът разпозна единствено файла README.hta – съобщението за откуп на Cerber. Според специалиста по мобилна сигурност на ESET – Лукас Стефанко (Lukas Stefanko), една от причините този файл да се намира в тези приложения е, че създателят Франческо Пио Рециа (Francesco Pio Recchia) е бил жертва на Cerber. По време на атаката, вирусът оставя съобщението за откуп във всяка папка, която съдържа криптирани файлове. Затова, ако създателят не е премахнал тези файлове, те може да са останали в папката с иконата на приложението. Другото предположение е, че дизайнерът на иконите, които се използват в приложенията Accechiamoli и ForzaFò може да е бил жертва на Cerber. Така съобщението за откуп може случайно да е останало в папката с иконата. Създателят на приложението не я е проверил, а просто я е копирал. Съобщението за откуп просто е останало незабелязано. И все пак, това са само предположения. Истината какво точно се е случило все още е неизвестна.

Въпреки че HTA файловете биха могли да бъдат използвани за разпространение на криптиращи вируси, тук случаят не е такъв. Файлът README.hta не е зловреден и не съдържа атакуващ код. Програмите за сигурност го идентифицират като зловреден, но истината е, че не може да причини никакви щети на устройството ви. Той само съдържа инструкции какво искат хакерите от жертвите след рансъмуерната атака.Съобщението за откуп съдържа информация за криптирането на данните и иска плащане на откупа, за да могат да бъдат възстановени. От жертвите се иска да преведат определена сума в биткойни чрез специална уеб страница за разплащане, която може да се достигне единствено с Tor браузър. И все пак, искаме да ви напомним, че жертвите на рансъмуера,не трябва да следват указанията на престъпниците. Плащането на откупа по никакъв начин не ви гарантира, че ще възстановите криптираните файлове.

За автора
Gabriel E. Hall
Gabriel E. Hall - Пламенен уеб изследовател

Гейбриъл И. Хол е пламенен изследовател на зловреден софтуер, която почти десетилетие работи за virusi.bg.

Свържете се с Gabriel E. Hall
За компанията Esolutions

Прочети на друг език
Файлове
Софтуер
Сравни