LeakerLocker Ransomware
LeakerLocker Mobile Ransomware
Этот вымогатель для Android-устройств не шифрует данные пользователей, но блокирует экран устройства и угрожает разослать очень личную информацию всем контактам, и требует выкуп в $50-100, чтобы этого не делать. Оригинальное название: не указано.
---BitDefenderFalx -> Android.Trojan.LeakerLocker.BX
DrWeb -> Android.RemoteCode.57
ESET-NOD32 -> Android/Locker.KW, A Variant Of Android/Locker.KW
Kaspersky -> HEUR:Trojan.AndroidOS.AdLocker.c
Kingsoft -> Android.Troj.LeakerLocker.a.(kcloud)
McAfee -> Android/Ransom.LeakerLocker.A!Pkg
Microsoft -> Trojan:AndroidOS/Multiverze
Symantec Mobile Insight -> Trojan:Lockdroid.E
TrendMicro -> ANDROIDOS_LEAKERLOCKER.HRX, TROJ_FRS.0NA003GD17
---
© Генеалогия: Удобная ниша (CNAM) >> LeakerLocker
CNAM (Convenient niche for Android malware) — в переводе "Удобная ниша для вредоносного ПО для Android", которая изначально поспособствовала разработке и распространению вредоносных программ для Android-устройств.
Я придумал этот термин, чтобы в культурной форме назвать это злачное место.
Информация для идентификации
Активность разных вариантов этого вымогателя была зафиксирована в апреле-июле 2017 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
Оригинальный LeakerLocker не шифровал личные данные пользователей, а незаметно создавал их резервную копию. Причем данные собирались случайным образом, т.е. выборочно. После этого вредонос угрожал разослать всем контактам из телефонной книги и привязанной к гаджету электронной почты очень личные фото, историю браузера и все остальное. Чтобы предотвратить отправку фотографий, переписок и истории браузера, жертвы должны были заплатить 50 или 100 долларов (см. на фото ниже оба варианта выкупа).
Свои требования вымогатель отображал, используя компонент WebView, то есть поверх окон других приложений, блокируя экран устройства.
Содержание текста с экрана:
Identity and Privacy
LEAK
All personal data from your smartphone has been trasfered to our secure cloud.
It contains:
- Personal photos ()
- Contact numbers ()
- Sent and received SMS ()
- Phone calls history ()
- Facebook messages
- Chrome visits history
- Full email texts
- GPS location history
In less then 72 hours this data will be sent to every person from your telephone and email contacts list.
To abort this action you have to pay a modest RANSOM of $50.
PROCCEED
Please note that there is no way to delete your data from our secure but paying for them. Powering off or even damaging your smartphone won't affect your data in the cloud.
Перевод на русский язык:
Личность и конфиденциальность
УТЕЧКА
Все личные данные с вашего смартфона были перенесены в наше защищенное облако.
Это содержит:
- Личные фотографии ()
- Контактные телефоны ()
- Отправленные и полученные СМС ()
- История телефонных звонков ()
- Сообщения в Facebook
- История посещений Chrome
- Полные тексты электронной почты
- История местоположения GPS
Менее чем через 72 часа эти данные будут отправлены каждому человеку из вашего списка контактов по телефону и электронной почте.
Чтобы прервать это действие, вы должны заплатить скромный ВЫКУП в размере $50.
ПРОДОЛЖИТЬ
Обратите внимание, что нет способа удалить ваши данные из нашего безопасного хранилища, кроме как заплатить за них. Выключение или даже повреждение смартфона не повлияет на ваши данные в облаке.
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом.
Технические детали + IOC
Исследователи обнаружили в Google Play три программы, содержавшие LeakerLocker. Они назывались Booster & Cleaner Pro (оптимизатор памяти, скачан более 1000 раз), Wallpapers Blur HD (сменшик обоев, скачан более 5000 раз) и Calls Recorder (регистратор звонков с дополнительными настройками). В магазине приложений злоумышленники выставляли этим приложениям положительные оценки, а в комментариях добавляли положительные отзывы как бы от довольных пользователей. Поначалу установленные приложения делали вид, что работали, но тайно собирали личную информацию. Через некоторое время пользователь получал сообщение с требованием выкупа за удаление собранной информации с сервера.
Судя по комментариям пользователей, оба приложения были частью какой-то бонусной программы, то есть за их установку пользователям предлагали заплатить небольшие деньги.
На момент написания статьи приложения Booster & Cleaner Pro и Wallpapers Blur HD уже были удалены из онлайн-магазина приложений, а Calls Recorder, видимо, был удален позже. Но они еще могут быть скачаны со всевозможных сайтов-барахолок для Android-устройств. Например, я легко нашел одно из этих приложений на первом попавшемся сайте даже спустя 5 лет. Скриншот ниже.
См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ LeakerLocker не использовал никаких эксплойтов и полагался только на права, которые ему добровольно предоставляли сами жертвы. В результате вымогатель получал доступ к почте, списку контактов, истории Chrome, текстовым сообщениям, истории звонков, фотографиям, информации об устройстве и так далее. Но исследователи не обнаружили в коде приложений функций, которые могли бы отвечать за передачу этих данных на удаленный сервер или отправку личной информации всем контактам. И хотя угрозы LeakerLocker, похоже, были совершенно пустыми, специалисты все же не исключают возможности, что вымогатель мог скачивать какой-то дополнительный модуль с удаленного сервера. Вероятно, это происходило, если пострадавший не оплачивал выкуп в размере $50-100.
Файлы, подвергающихся копированию и угрозе рассылки:
Это документы, текстовые файлы, фотографии, музыка, видео и пр.
Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
<random>.apk - случайное название вредоносного файла.
Расположения и целевые директории:
\Android\ ->
\Data\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
URL: hxxx://updatmaster.top/click.php*
URL: hxxx://goupdate.bid/click.php*
URL со скриншота: hxxx://designthing.net
Email со скриншота: ostashkinpp@gmail.com
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
---
---
Степень распространённости: средняя.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links:
Message + Message + Message
ID Ransomware (n/a)
Write-up, Write-up, Topic of Support
*
Thanks:
McAfee, Trend Micro
Andrew Ivanov (article author)
***
to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.