به گزارش شرکت امنیتی McAfee، یک باج افزار (Ransomware) تحت سیستم عامل Android شناسایی شده که دارای قابلیت های شبکه های مخرب (Botnet) است. همچنین این باج افزار دارای یک رابط کاربری فرماندهی است که بر روی یک سرویس مجاز ابری میزبانی می شود.
بخش مخرب این باج افزار می تواند فایل های قربانی را رمزنگاری کرده، پیامک ها را سرقت نموده و دسترسی به دستگاه را محدود کند. در این گونه این باج افزار در زمان قفل شدن صفحه نمایش دستگاه از تصویر یک گربه استفاده شده است.
باج افزار بصورت پیوسته فرامین را از طریق پودمان HTTP از سرور فرماندهی دریافت می کند. ردوبدل ترافیک باج افزار و سرور فرماندهی بدون رمزنگاری انجام می شود.
فرامینی که باج افزار می تواند از سرور فرماندهی دریافت کند در تصویر زیر نمایش داده شده است.
خواندن فرمان نیز با کدهای زیر انجام می شود.
به گزارش شرکت McAfee، یکی از قابلیت های جالب این باج افزار توانایی رمزنگاری فایل های خاص با الگوریتم متقارن AES است. البته این رمزنگاری با کلیدی انجام می شود که در کد باج افزار تزریق شده است.
برخلاف الگوریم های رمزنگاری نامتقارن، استفاده از یک گذرواژه تزریق شده در کد، رمزگشایی را آسان می کند. ضمن اینکه کد باج افزار حاوی تابعی است که وظیفه آن رمزگشایی فایل های رمز شده است. بنابراین با کمی تلاش می توان این باج افزار را مجبور به رمزگشایی کرد.
شرکت McAfee، وجود سرور فرماندهی را به شرکتی که این سرور ابری را میزبانی می کند گزارش کرده است و بنابراین انتظار می رود به زودی این سرور متوقف شود.
به نظر می رسد با توجه به اینکه سرور فرماندهی حفاظت شده نیست، این باج افزار صرفاً نسخه ای نمایشی (Demo) برای فروش یک بسته بدافزار باشد.
