Специалисты «Лаборатории Касперского» обнаружили малварь, которая маскировалась под бета-версию Cyberpunk 2077 для Android и распространялась через сайт cyberpunk2077mobile[.]com.
Сайт «мобильной версии» внешне подозрительно напоминал Google Play, а его создатели утверждали, что бета вышла в день официального релиза игры. Якобы «бету» уже скачало около тысячи человек, и некоторые из них даже оставили отзывы, отметив, что для бета-версии игра неплоха.
Хотя на сайте указано, что приложение весит 3,4 Гб, при скачивании файл не дотягивает и до 3 Мб. При старте приложение первым делом требует доступ к файлам на устройстве. Теоретически эти права могут понадобиться приложению, если пользователь захочет что-то сохранить или открыть через него, но вряд фото и видео нужны игре, чтобы запуститься. Тем не менее, приложение не может работать без этого разрешения. Впрочем, если даже выдать фальшивке все права, поиграть тоже не получится: вместо Cyberpunk 2077 жертва увидит лишь сообщение с требованием выкупа.
В записке на ломаном английском пользователю разъясняют, что теперь все его фото и прочие важные файлы зашифрованы. Чтобы их восстановить, нужно перевести на кошелек злоумышленников 500 долларов в биткоинах. В противном случае малварь удалит данные навсегда и восстановить их будет невозможно. Избавиться от шифровальщика, по словам вымогателей, тоже нельзя: файлы якобы вернуть не удастся.
Исследователи проверили, что на самом деле происходит с файлами на зараженном устройстве. Угрозы оказались не пустыми: файлы действительно были зашифрованы и им присвоили расширение .coderCrypt. Кроме того, в каждую папку малварь поместила файл README.txt с той же запиской, что и в окне приложения.
Однако восстановить файлы оказалось можно и без помощи злоумышленников. Дело в том, что малварь использует симметричный алгоритм шифрования RC4. То есть для расшифровки данных нужен тот же самый ключ, с помощью которого их зашифровали. В данном случае ключ оказался зашит в коде приложения. Во всех образцах, которые попались экспертам, ключ был такой: «21983453453435435738912738921».
Также эксперты пишут, что авторы фейковой беты Cyberpunk 2077 для Android распространяют еще и шифровальщик для Windows, маскирующийся под эту же игру. Зашифрованные им файлы уже нельзя восстановить самостоятельно, потому что ключ не зашит в код приложения, а случайным образом генерируется для каждого отдельного случая заражения. Возможно, как раз поэтому у пользователей ПК требуют вдвое больше денег, чем у жертв мобильной малвари.
