Forskerne hennes ESET oppdaget en ny familie med løsepengevareangrep Android, den Android / Filecoder.C, som bruker ofrenes kontaktliste og prøver å spre seg videre gjennom SMS med ondsinnede lenker.
Τdenne nye løsepengevaren sprer seg på Reddit gjennom pornografisk innhold. ESET har rapportert den ondsinnede profilen som ble brukt i ransomware-kampanjen, men den er fortsatt aktiv. I en kort periode hadde kampanjen også kjørt på «XDA developers», et forum for Android-utviklere. I følge ESET-rapporten har nettkriminelle som driver løsepengevare fjernet de ondsinnede innleggene.
Android / Filecoder.C bruker interessante regneark. Før filkryptering begynner, sendes flere tekstmeldinger til hver adresse i offerets kontaktliste, som ber mottakerne om å klikke på en ondsinnet lenke som fører til løsepengevareinstallasjonsfilen. "Teoretisk sett kan endeløse infeksjoner forekomme, siden denne ondsinnede meldingen er tilgjengelig på 42 språk. Heldigvis kan selv de minst mistenksomme brukerne forstå at meldingene ikke er riktig oversatt og at de på noen språk ikke ser ut til å gi mening, sa Lukáš Štefanko, forskningssjef.
I tillegg til den utradisjonelle regnearkmekanismen, har Android / Filecoder.C noen anomalier i krypteringen. Utelukker store filer (over 50 MB) og små bilder (under 150 kB), mens listen over "filtyper for kryptering" inneholder mange oppføringer som ikke er relatert til Android, mens noen av utvidelsene som er vanlige for Android mangler . "Selvfølgelig har listen blitt kopiert fra den beryktede WannaCry løsepengevaren," bemerker Štefanko.
Det er andre interessante fakta om den uortodokse tilnærmingen som brukes av utviklerne av denne skadelige programvaren. I motsetning til standard løsepengeprogramvare for Android, hindrer ikke Android / Filecoder.C brukeren fra å få tilgang til enheten ved å lukke skjermen. I tillegg er det ikke satt noe spesifikt beløp som løsepenger. I stedet blir beløpet som angripere ber om i bytte mot løftet om å dekryptere filene, dynamisk generert ved å bruke bruker-IDen som løsepengeprogramvare har spesifisert for det offeret. Denne prosessen resulterer i at løsepengebeløpet er unikt hver gang, og varierer fra 0,01-0,02 BTC.
«Trikset med den unike løsepengene er enestående: vi har aldri sett det i noen løsepengeprogramvare rettet mot Android-økosystemet", sier ftefanko. «Målet er heller å identifisere betalinger per offer, noe som vanligvis løses ved å lage en unik Bitcoin-lommebok for hver kryptert enhet. I denne kampanjen oppdaget vi at bare én Bitcoin-lommebok ble brukt'.
Ifølge Lukáš ftefanko er brukere med enheter beskyttet av ESET Mobile Security ikke utsatt for denne trusselen. «De mottar varsel om ondsinnet kobling. Selv om de ignorerer advarselen og laster ned applikasjonen, vil sikkerhetsløsningen blokkere den'.
[the_ad_group id = ”966 ″]ΜIkke glem å bli med (registrer deg) i forumet vårt, noe som kan gjøres veldig enkelt ved å trykke på følgende knapp...
(Hvis du allerede har en konto i forumet vårt, trenger du ikke følge registreringslenken)
Følg oss på Telegram!
