Вымогательское ПО является настоящим трендом в киберпреступной среде, и от таких атак страдают отнюдь не только пользователи десктопных систем. Специалисты компании McAfee обнаружили вымогателя ElGato, который нацелен на устройства на базе Android. Как ни странно, это не обычный блокировщик экрана и не scareware, запугивающая пользователей. ElGato — полноценный шифровальщик, который также способен похищать личную информацию жертв.
Исследователи сообщают, что малварь обладает хорошим потенциалом для создания ботнета, а управляющие серверы вредоноса работают на базе легитимного провайдера облачного хостинга. С C&C-сервером ElGato связывается посредством HTTP, безо всякого шифрования, так что все команды и данные передаются открыто.
Среди возможностей малвари были перечислены умением перенаправлять и удалять SMS-сообщения пострадавших, отправлять сообщения с зараженного устройства, шифровать файлы на SD-карте или файлы в конкретных директориях. После шифрования малварь изменяет расширения файлов на .enc. 
За расшифровку данных операторы вредоноса, разумеется, могут потребовать выкуп, блокируя экран устройства вымогательским сообщением. После того как жертва заплатит, малварь также выступит в роли дешифровальщика. Впрочем, эксперты пишут, что пока ElGato не показывает сообщение с требованием выкупа и не просит денег, вместо этого экран устройства блокируется бессмысленной картинкой с котом. Дело в том, что El Gato — это «кот» по-испански.
Так как малварь сообщается с управляющим сервером через HTTP, исследователи смогли отследить C&C-сервер злоумышленников и были немало удивлены, обнаружив там незащищенную паролем панель управления (да еще и на русском языке).
«Этот вариант вымогателя похож на демо-версию, которая используется киберпреступниками для коммерциализации, так как интерфейс управляющего сервера не защищен, а в коде содержатся фразы вроде MyDificultPassw, — сообщают эксперты McAfee. — McAfee Labs уже проинформировала владельцев взломанных серверов и попросила их пресечь вредоносную активность».
UPD.
Наш читатель Сергей Фирсов заметил, что обнаруженный специалистами McAfee вымогатель очень похож на вирус, который был создан исследователями Уральского центра систем безопасности в экспериментальных целях. В мае 2016 года, на PHDays VI с докладом выступила Ольга Зиненко (аналитик Уральского центра систем безопасности). Она рассказала о проведенном компанией независимом тестировании мобильных антивирусов, разработанных для платформы Android (в том числе Dr.Web, Kaspersky, Norton, ESET). Полную версию выступления можно увидеть ниже.
Ольга Зиненко рассказала, что специально для исследования был создан вирус cat.apk, который был детально описан в ходе выступления. Малварь способна читать, отправлять и удалять SMS-сообщения, шифровать данные на SD-карте и блокировать зараженное устройство. Слайды презентации демонстрируют ту же самую картинку с котом, которую заметили аналитики McAfee, да и панель управления вредоносом выглядит практически аналогично (см. ниже) Рискнем предположить, что специалисты McAfee обнаружили именно этот исследовательский проект, приняв его за недоработанную версию настоящей малвари.
Фото: dpa
