Cercetătorii ei ESET a descoperit o nouă familie de atacuri ransomware Android, cel Android / Filecoder.C, care folosește lista de contacte a victimelor și încearcă să se răspândească mai departe SMS-uri cu linkuri rău intenționate.
Τacest nou ransomware se răspândește pe Reddit prin conținut pornografic. ESET a raportat profilul rău intenționat utilizat în campania de răspândire a ransomware, dar este încă activ. Pentru o scurtă perioadă, campania rulase și pe „XDA developers”, un forum pentru dezvoltatorii Android. Potrivit raportului ESET, infractorii cibernetici care operează ransomware au eliminat postările rău intenționate.
Android / Filecoder.C folosește foi de calcul interesante. Înainte de a începe criptarea fișierelor, mai multe mesaje text sunt trimise la fiecare adresă din lista de contacte a victimei, solicitând destinatarilor să facă clic pe un link rău intenționat care duce la fișierul de instalare a ransomware. „Teoretic, pot apărea infecții nesfârșite, deoarece acest mesaj rău intenționat este disponibil în 42 de limbi. Din fericire, chiar și utilizatorii mai puțin suspecti pot înțelege că mesajele nu sunt traduse corect și că în unele limbi nu par să aibă sens”, a spus Lukáš Štefanko, șeful de cercetare.
Pe lângă mecanismul său de implementare netradițional, Android/Filecoder.C are unele anomalii în criptarea sa. Exclude fișierele mari (peste 50 MB) și imaginile mici (sub 150 kB), în timp ce lista „tipurilor de fișiere pentru criptare” conține multe intrări care nu au legătură cu Android, în timp ce unele dintre extensiile care sunt comune pentru Android lipsesc . „În mod evident, lista a fost copiată din infamul ransomware WannaCry”, notează Štefanko.
Există și alte fapte interesante despre abordarea neortodoxă folosită de dezvoltatorii acestui malware. Spre deosebire de ransomware-ul standard pentru Android, Android / Filecoder.C nu împiedică utilizatorul să acceseze dispozitivul prin închiderea ecranului. În plus, nicio sumă anume nu a fost stabilită ca răscumpărare. În schimb, suma pe care atacatorii o cer în schimbul promisiunii de decriptare a fișierelor este generată dinamic folosind ID-ul de utilizator pe care ransomware-ul l-a specificat pentru acea victimă. Acest proces are ca rezultat ca suma de răscumpărare să fie unică de fiecare dată, variind de la 0,01 la 0,02 BTC.
«Trucul cu răscumpărarea unică este fără precedent: nu l-am văzut niciodată în niciun ransomware care vizează ecosistemul Android", spune ftefanko. «Mai degrabă, scopul este de a identifica plățile per victimă, ceea ce este de obicei rezolvat prin crearea unui portofel Bitcoin unic pentru fiecare dispozitiv criptat. În această campanie, am detectat că a fost folosit un singur portofel Bitcoin".
Potrivit lui Lukáš ftefanko, utilizatorii cu dispozitive protejate de ESET Mobile Security nu sunt expuși riscului de această amenințare. «Ei primesc notificări despre linkuri rău intenționate. Chiar dacă ignoră avertismentul și descarcă aplicația, soluția de securitate o va bloca".
[the_ad_group id = ”966 ″]ΜNu uitați să vă înscrieți (înregistrați) pe forumul nostru, lucru care se poate face foarte ușor prin următorul buton...
(Dacă aveți deja un cont pe forumul nostru, nu trebuie să urmați linkul de înregistrare)
Alaturati-va comunitatii noastre
Urmărește-ne pe Telegram!
