Нейните изследователи ESET откри ново семейство атакуващи рансъмуер Android, на Android / Filecoder.C, който използва списъка с контакти на жертвите и се опитва да се разпространи по-нататък SMS със злонамерени връзки.
Τтози нов рансъмуер се разпространява в Reddit чрез порнографско съдържание. ESET съобщи за злонамерения профил, използван в кампанията за разпространение на ransomware, но той все още е активен. За кратко време кампанията се провеждаше и на „XDA developers“, форум за разработчици на Android. Според доклада на ESET, киберпрестъпниците, които оперират ransomware, са премахнали злонамерените публикации.
Android / Filecoder.C използва интересни електронни таблици. Преди да започне шифроването на файловете, до всеки адрес в списъка с контакти на жертвата се изпращат множество текстови съобщения, подтикващи получателите да щракнат върху злонамерена връзка, която води до инсталационния файл за рансъмуер. „Теоретично могат да възникнат безкрайни инфекции, тъй като това злонамерено съобщение е достъпно на 42 езика. За щастие дори и по-малко подозрителни потребители могат да разберат, че съобщенията не са преведени правилно и на някои езици изглежда нямат смисъл“, каза Лукаш Щефанко, ръководител на изследването.
В допълнение към своя нетрадиционен механизъм за електронни таблици, Android / Filecoder.C има някои аномалии в своето криптиране. Изключва големи файлове (над 50 MB) и малки изображения (под 150 kB), докато списъкът с „типове файлове за криптиране“ съдържа много записи, които не са свързани с Android, докато някои от разширенията, които са общи за Android, липсват. „Очевидно списъкът е копиран от прословутия ransomware WannaCry“, отбелязва Щефанко.
Има и други интересни факти за неортодоксалния подход, използван от разработчиците на този зловреден софтуер. За разлика от стандартния ransomware за Android, Android / Filecoder.C не пречи на потребителя да получи достъп до устройството, като затвори екрана. Освен това не е определена конкретна сума като откуп. Вместо това сумата, която нападателите искат в замяна на обещанието за декриптиране на файловете, се генерира динамично с помощта на UserID, който ransomware е посочил за тази жертва. Този процес води до това, че сумата на откупа е уникална всеки път, варираща от 0,01-0,02 BTC.
«Трикът с уникалния откуп е безпрецедентен: никога не сме го виждали в нито един ransomware, насочен към екосистемата на Android“, казва ftefanko. «По-скоро целта е да се идентифицират плащанията на жертва, което обикновено се решава чрез създаване на уникален биткойн портфейл за всяко криптирано устройство. В тази кампания установихме, че е използван само един биткойн портфейл".
Според Лукаш фтефанко потребителите на устройства, защитени от ESET Mobile Security, не са изложени на риск от тази заплаха. «Те получават известия за злонамерена връзка. Дори ако игнорират предупреждението и изтеглят приложението, решението за сигурност ще го блокира".
[the_ad_group id = ”966 ″]ΜНе забравяйте да се присъедините (регистрирате) в нашия форум, което може да стане много лесно чрез следния бутон...
(Ако вече имате акаунт в нашия форум, не е необходимо да следвате връзката за регистрация)
Присъединете се към нашата общност
Следвайте ни в Telegram!
