Кибермошенники в Китае разработали вирус-вымогатель для Android-устройств, который графическим оформлением копирует печально известный шифровальщик WannaCry, в мае атаковавший сотни тысяч компьютеров под управлением Windows. По всей видимости, злоумышленники таким образом рассчитывают запугать пользователей и заставить их быстро заплатить выкуп.
Первыми новое вредоносное ПО заметили специалисты китайской ИБ-компании Qihoo 360. Отмечается, что приложение с вирусом-вымогателем маскируется под плагин очень популярной в Китае мобильной игры King of Glory и распространяется в местных игровых форумах.
По мнению обозревателей Bleeping Computer, оформление двойника WannaCry указывает на то, что он – дело рук кибервымогателей-дилетантов, которые, к тому же, сделали всё, чтобы их арестовали.
Дело в том, что в отличие от подавляющего большинства существующих в мире программ-вымогателей, создатели шифровальщика а-ля WannaCry требуют выкуп в юанях (если точно, 40 юаней или около шести долларов США), причём деньги нужно перечислить при помощи действующих в КНР мобильных платёжных систем – QQ, Alipay или WeChat.
Видимо, авторы вируса никогда не слышали о существовании биткоинов или забыли, что они живут в Китае, стране, где власти имеют полный доступ к данным технологических компаний. У полиции уйдут считанные минуты, чтобы засечь получателей платежей и схватить кибервымогателей.
Вместе с тем, обозреватели отмечают, что с точки зрения программного кода Android-вирус под WannaCry выглядит довольно достойно.
Вредонос не просто блокирует экран мобильного устройства, как поступают большинство других программ-вымогателей для ОС Android, а на самом деле шифрует данные, что весьма впечатляюще.
Данные блокируются с помощью механизма криптования AES и ко всем зашифрованным файлам добавляется расширение из смеси латинских букв и китайских иероглифов.
Правда, из-за ограниченности ресурсов Android-устройств вирус шифрует только файлы размером менее 10 КБ. К тому же, чтобы не обрушить операционную систему мобильного устройства, вирус не трогает файлы с названиями, начинающимися с точки, и папки с файлами, в пути к которым прописано “android”, “com”, “DCIM”, “download” или “miad”
В компании Avast китайского двойника WannaCry для Android назвали вирусом WannaLocker. По словам ИБ-эксперта Avast Николаоса Крисайдоса (Nikolaos Chrysaidos), шифровальщик блокирует лишь файлы, хранящиеся на внешней карте памяти смартфона.