Els seus investigadors ESET va descobrir una nova família de ransomware atacant Android, el Android / Filecoder.C, que utilitza la llista de contactes de les víctimes i intenta difondre's SMS amb enllaços maliciosos.
Τaquest nou ransomware s'està estenent a Reddit a través de contingut pornogràfic. ESET ha informat del perfil maliciós utilitzat a la campanya de difusió de ransomware, però encara està actiu. Durant poc temps, la campanya també s'havia desenvolupat a "XDA developers", un fòrum per a desenvolupadors d'Android. Segons l'informe d'ESET, els cibercriminals que operen ransomware han eliminat les publicacions malicioses.
Android / Filecoder.C utilitza fulls de càlcul interessants. Abans que comenci el xifratge dels fitxers, s'envien diversos missatges de text a cada adreça de la llista de contactes de la víctima, demanant als destinataris que facin clic a un enllaç maliciós que condueix al fitxer d'instal·lació del ransomware. "En teoria, es poden produir infeccions infinites, ja que aquest missatge maliciós està disponible en 42 idiomes. Afortunadament, fins i tot els usuaris menys sospitosos poden entendre que els missatges no estan traduïts correctament i que en alguns idiomes no semblen tenir sentit", va dir Lukáš Štefanko, cap d'investigació.
A més del seu mecanisme de desplegament no tradicional, Android/Filecoder.C té algunes anomalies en el seu xifratge. Exclou fitxers grans (més de 50 MB) i imatges petites (per sota de 150 kB), mentre que la llista de "tipus de fitxers per a xifrat" conté moltes entrades que no estan relacionades amb Android, mentre que falten algunes de les extensions habituals per a Android. "Òbviament, la llista s'ha copiat del famós ransomware WannaCry", assenyala Štefanko.
Hi ha altres fets interessants sobre l'enfocament poc ortodox utilitzat pels desenvolupadors d'aquest programari maliciós. A diferència del ransomware estàndard per a Android, Android / Filecoder.C no impedeix que l'usuari accedeixi al dispositiu tancant la pantalla. A més, no s'ha fixat cap quantitat específica com a rescat. En canvi, la quantitat que els atacants demanen a canvi de la promesa de desxifrar els fitxers es genera dinàmicament mitjançant l'ID d'usuari que el ransomware ha especificat per a aquesta víctima. Aquest procés fa que la quantitat del rescat sigui única cada vegada, que oscil·la entre 0,01 i 0,02 BTC.
«El truc amb el rescat únic no té precedents: mai l'hem vist en cap ransomware dirigit a l'ecosistema Android", diu ftefanko. «Més aviat, l'objectiu és identificar els pagaments per víctima, que normalment es resol mitjançant la creació d'una cartera Bitcoin única per a cada dispositiu xifrat. En aquesta campanya, vam detectar que només s'utilitzava una cartera Bitcoin».
Segons Lukáš ftefanko, els usuaris amb dispositius protegits per ESET Mobile Security no corren el risc d'aquesta amenaça. «Reben notificacions sobre enllaços maliciosos. Encara que ignorin l'avís i baixin l'aplicació, la solució de seguretat la bloquejarà».
[the_ad_group id = ”966 ″]ΜNo oblidis unir-te (registrar-te) al nostre fòrum, que es pot fer molt fàcilment amb el següent botó...
(Si ja teniu un compte al nostre fòrum no cal que seguiu l'enllaç de registre)
Uneix-te a la nostra comunitat
Segueix-nos a Telegram!
