Její výzkumníci ESET objevil novou rodinu útoků ransomwaru Android, Android / Filecoder.C, která využívá seznam kontaktů obětí a snaží se šířit dál SMS se škodlivými odkazy.
Τtento nový ransomware se šíří na Redditu prostřednictvím pornografického obsahu. Společnost ESET nahlásila škodlivý profil použitý v kampani na šíření ransomwaru, ale je stále aktivní. Krátkou dobu kampaň běžela také na „XDA developers“, fóru pro vývojáře Androidu. Podle zprávy společnosti ESET kyberzločinci provozující ransomware škodlivé příspěvky odstranili.
Android / Filecoder.C používá zajímavé tabulky. Před zahájením šifrování souborů je na každou adresu v seznamu kontaktů oběti odesláno několik textových zpráv, které vyzvou příjemce, aby klikli na škodlivý odkaz, který vede k instalačnímu souboru ransomwaru. „Teoreticky může dojít k nekonečným infekcím, protože tato škodlivá zpráva je dostupná ve 42 jazycích. Naštěstí i ti méně podezřívaví uživatelé chápou, že zprávy nejsou přeloženy správně a v některých jazycích se zdá, že nedávají smysl,“ uvedl vedoucí výzkumu Lukáš Štefanko.
Kromě svého netradičního mechanismu nasazení má Android / Filecoder.C některé anomálie ve svém šifrování. Nezahrnuje velké soubory (nad 50 MB) a malé obrázky (méně než 150 kB), zatímco seznam „typů souborů pro šifrování“ obsahuje mnoho položek, které s Androidem nesouvisejí, zatímco některá rozšíření, která jsou pro Android běžná, chybí . „Seznam byl samozřejmě zkopírován z nechvalně známého ransomwaru WannaCry,“ poznamenává Štefanko.
Existují další zajímavá fakta o neortodoxním přístupu, který používají vývojáři tohoto malwaru. Na rozdíl od standardního ransomwaru pro Android, Android / Filecoder.C nebrání uživateli v přístupu k zařízení zavřením obrazovky. Navíc nebyla stanovena žádná konkrétní částka jako výkupné. Místo toho je částka, kterou útočníci požadují výměnou za příslib dešifrování souborů, dynamicky generována pomocí UserID, které ransomware pro danou oběť určil. Tento proces má za následek, že částka výkupného je pokaždé jedinečná, v rozmezí 0,01-0,02 BTC.
«Trik s jedinečným výkupným je bezprecedentní: nikdy jsme ho neviděli u žádného ransomwaru zaměřeného na ekosystém Android“, Říká ftefanko. «Cílem je spíše identifikovat platby na oběť, což se obvykle řeší vytvořením jedinečné bitcoinové peněženky pro každé šifrované zařízení. V této kampani jsme zjistili, že byla použita pouze jedna bitcoinová peněženka".
Uživatelé se zařízeními chráněnými ESET Mobile Security nejsou podle Lukáše ftefanka touto hrozbou ohroženi. «Dostávají upozornění na škodlivý odkaz. I když budou varování ignorovat a aplikaci si stáhnou, bezpečnostní řešení ji zablokuje".
[the_ad_group id = ”966 ″]