Mobilní ransomware Charger požaduje po uživatelích výkupné

Ransomware byl nalezen v aplikaci EnergyRescue, která klade kontakty a SMS z uživatelského zařízení a snaží se získat administrátorská oprávnění. Pokud je uživatel udělí, Charger uzamkne zařízení a zobrazí zprávu požadující platbu. V českém překladu by zněla:

„Budete nám muset zaplatit, jinak prodáme každých 30 minut na černém trhu část vašich osobních informací. DÁVÁME VÁM 100% ZÁRUKU, ŽE VŠECHNY SOUBORY BUDOU OBNOVENÉ, JAKMILE OBDRŽÍME PLATBU. ODEMKNEME MOBILNÍ ZAŘÍZENÍ A SMAŽEME VŠECHNA VAŠE DATA Z NAŠEHO SERVERU! VYPNOUT TELEFON NEPOMŮŽE, VŠECHNA VAŠE DATA JSOU JIŽ ULOŽENA NA NAŠICH SERVERECH! MŮŽEME JE PRODAT NA SPAMOVÁNÍ, PODVODY, BANKOVNÍ ZLOČINY A PODOBNĚ. Shromažďujeme a stahujeme všechna vaše osobní data. Veškeré informace o vašich sociálních sítích, bankovních účtech, kreditních kartách. Shromažďujeme veškerá data o vašich přátelích a rodině.“

Výkupné bylo 0,2 bitcoinu (zhruba 180 dolarů), což je mnohem vyšší částka, než bylo doposud u mobilního ransomwaru běžné. Pro srovnání ransomware DataLust požadoval výkupné pouze 15 dolarů.

Podobně jako u jiných malwarů z minulosti, tak i Charger kontroluje lokální nastavení a nespustí škodlivé aktivity, pokud je přístroj lokalizován na Ukrajině, v Rusku nebo Bělorusku. Pravděpodobně aby se vývojáři vyhnuli stíhání ve svých vlastních zemích nebo vydání mezi zeměmi.

Malware využívá nejrůznější pokročilé techniky, aby skryl své skutečné záměry a bylo těžší jej detekovat:

• Kóduje řetězce do binárních polí, takže je obtížné je kontrolovat.
• Nahrává dynamicky kód z šifrovaných zdrojů, což většina detekčních technologií nezachytí. - Kód je zároveň zahlcen nesmyslnými příkazy, které maskují skutečné příkazy.
• Než spustí škodlivou činnost, zkontroluje, zda nedošlo ke spuštění v emulátoru. Tato technika byla poprvé použita počítačovým malwarem a v oblasti mobilního škodlivého kódu se stává trendem.

Zdroj: Check Point