Analitycy zagrożeń z firmy Eset przechwycili pierwszy w historii złośliwy program typu ransomware, szyfrujący pliki, który bierze na cel nie komputery, a smartfony i tablety z Androidem. Po zainfekowaniu zagrożenie szyfruje zdjęcia, dokumenty i filmy zapisane na karcie pamięci, zainstalowanej w urządzeniu.
Android/Simplocker, bo tak zagrożenie zostało oznaczone przez pracowników laboratorium antywirusowego ESET, przedostaje się na urządzenie z Androidem w zainfekowanej aplikacji. Nieświadomy niebezpieczeństwa użytkownik pobiera i uruchamia złośliwy plik, instalując w ten sposób Simplockera na swoim smartfonie lub tablecie. W chwilę po zainfekowaniu urządzenia, zagrożenie rozpoczyna skanowanie zainstalowanej w urządzeniu karty SD w poszukiwaniu konkretnych typów plików.
W chwili, gdy użytkownik próbuje odczytać wspomniany komunikat z ekranu swojego urządzenia, zagrożenie szyfruje w tle pliki zapisane na karcie pamięci. Z informacji wyświetlanej przez Android/Simplockera wynika, że odszyfrowanie plików, a więc przywrócenie do nich dostępu, jest możliwe po wpłaceniu okupu w wysokości 260 ukraińskich Hrywien. Kamil Sadkowski z firmy ESET podkreśla, że zarówno język, w jakim wyświetlany jest komunikat, jak i waluta, w której należy wpłacić okup, wskazują, iż Android/Simplocker powstał w celu atakowania mieszkańców Ukrainy.
Jak podkreślają eksperci z firmy ESET, zagrożenie po zainfekowaniu urządzenia swojej ofiary, błyskawicznie nawiązuje połączenie z serwerem, należącym do cyberprzestępcy. Dzięki temu Android/Simplocker może w dowolnym momencie zrealizować polecenia swojego twórcy. Podczas komunikacji ze wspomnianym serwerem zagrożenie przesyła numer IMEI zainfekowanego smartfonu, model urządzenia, nazwę producenta oraz wersję systemu operacyjnego. Połączenie z serwerem nawiązywane jest za pośrednictwem sieci TOR, anonimizującej ruch sieciowy.
Przed infekcją Android/Simplockerem chroni aplikacja zabezpieczająca dla smartfonów i tabletów z Androidem ESET Mobile Security. W wypadku osób, które nie korzystały z rozwiązania zabezpieczającego i padły ofiarą zagrożenia szyfrującego może się okazać, że jedyną szansą na odzyskanie dostępu do zaszyfrowanych danych jest skorzystanie z tzw. backupu, czyli zapasowej kopii utraconych danych.