Jej badacze ESET odkrył nową rodzinę atakujących ransomware Android, ten Android / Filecoder.C, która korzysta z listy kontaktów ofiar i stara się dalej rozpowszechniać SMS ze złośliwymi linkami.
Τto nowe oprogramowanie ransomware rozprzestrzenia się na Reddit za pośrednictwem treści pornograficznych. Firma ESET zgłosiła złośliwy profil używany w kampanii rozprzestrzeniania ransomware, ale nadal jest on aktywny. Przez krótki czas kampania była również prowadzona na forum "programistów XDA", przeznaczonym dla programistów Androida. Według raportu ESET cyberprzestępcy korzystający z oprogramowania ransomware usunęli złośliwe posty.
Android / Filecoder.C wykorzystuje ciekawe arkusze kalkulacyjne. Przed rozpoczęciem szyfrowania plików na każdy adres z listy kontaktów ofiary wysyłanych jest wiele wiadomości tekstowych, co zachęca odbiorców do kliknięcia złośliwego łącza prowadzącego do pliku instalacyjnego ransomware. „Teoretycznie mogą wystąpić niekończące się infekcje, ponieważ ta złośliwa wiadomość jest dostępna w 42 językach. Na szczęście nawet mniej podejrzliwi użytkownicy mogą zrozumieć, że wiadomości nie są poprawnie przetłumaczone i w niektórych językach wydają się nie mieć sensu” – powiedział Lukáš Štefanko, kierownik badań.
Oprócz nietradycyjnego mechanizmu wdrażania, Android / Filecoder.C ma pewne anomalie w szyfrowaniu. Wyklucza duże pliki (powyżej 50 MB) i małe obrazy (poniżej 150 kB), podczas gdy lista „typów plików do szyfrowania” zawiera wiele wpisów, które nie są związane z Androidem, brakuje natomiast niektórych rozszerzeń, które są wspólne dla Androida. „Oczywiście lista została skopiowana z niesławnego oprogramowania ransomware WannaCry” — zauważa Štefanko.
Istnieją inne interesujące fakty dotyczące niekonwencjonalnego podejścia stosowanego przez twórców tego złośliwego oprogramowania. W przeciwieństwie do standardowego oprogramowania ransomware dla Androida, Android / Filecoder.C nie uniemożliwia użytkownikowi dostępu do urządzenia poprzez zamknięcie ekranu. Ponadto nie ustalono konkretnej kwoty jako okupu. Zamiast tego kwota, o którą proszą atakujący w zamian za obietnicę odszyfrowania plików, jest generowana dynamicznie przy użyciu identyfikatora użytkownika określonego przez oprogramowanie ransomware dla tej ofiary. Ten proces powoduje, że kwota okupu jest za każdym razem unikalna i wynosi od 0,01 do 0,02 BTC.
«Sztuczka z unikalnym okupem jest bezprecedensowa: nigdy nie widzieliśmy jej w żadnym oprogramowaniu ransomware atakującym ekosystem Androida”, mówi ftefanko. «Celem jest raczej identyfikacja płatności na ofiarę, co zwykle rozwiązuje się, tworząc unikalny portfel Bitcoin dla każdego zaszyfrowanego urządzenia. W tej kampanii wykryliśmy, że używany był tylko jeden portfel Bitcoin".
Według Lukáša ftefanko użytkownicy z urządzeniami chronionymi przez ESET Mobile Security nie są narażeni na to zagrożenie. «Otrzymują powiadomienie o złośliwym linku. Nawet jeśli zignorują ostrzeżenie i pobiorą aplikację, rozwiązanie zabezpieczające ją zablokuje".
[the_ad_group id = ”966 ″]