Podczas gdy oprogramowanie ransomware dla systemu Android było uśpione od 2017 r., badacze firmy ESET odkryli nową rodzinę oprogramowania ransomware, które wykorzystuje listy kontaktów ofiar do dalszego rozprzestrzeniania się za pośrednictwem wiadomości SMS zawierających złośliwe łącza.
Nowe oprogramowanie ransomware o nazwie Android/Filecoder.C było rozpowszechniane w serwisie Reddit na tematy związane z treściami dla dorosłych, a także przez krótki czas za pośrednictwem forum „XDA Developers”.
Badacz ESET, który przeprowadził dochodzenie, Lukáš Štefanko, dostarczył dodatkowych informacji na temat wykrytej przez firmę kampanii ransomware, stwierdzając:
„Kampania, którą odkryliśmy, jest niewielka i raczej amatorska. Co więcej, samo oprogramowanie ransomware jest wadliwe, szczególnie w odniesieniu do źle zaimplementowanego szyfrowania. Wszystkie zaszyfrowane pliki można odzyskać bez pomocy atakujących. Jeśli jednak programiści naprawią błędy, awarie i dystrybucja staje się bardziej zaawansowana, to nowe oprogramowanie ransomware może stać się poważnym zagrożeniem”.
Android / Filecoder.C
Android/Filecoder.C przyciągnął uwagę badaczy firmy ESET ze względu na swój unikalny mechanizm transmisji. Przed rozpoczęciem szyfrowania plików ransomware wysyła partię wiadomości tekstowych na każdy adres z listy kontaktów ofiary, który zawiera złośliwy odsyłacz do pliku instalacyjnego ransomware.
Oprócz swojego nietradycyjnego mechanizmu rozprzestrzeniania, Android/Filecoder.C zawiera pewne anomalie w szyfrowaniu. Oprogramowanie ransomware wyklucza duże pliki (ponad 50 MB) i małe obrazy (mniej niż 150 KB). Lista „Typy plików do zaszyfrowania” zawiera również wiele wpisów innych niż Android, a także niektóre typowe rozszerzenia Androida, które według Štefanko wynikają bezpośrednio z skopiowania szanowanej listy oprogramowania ransomware WannaCry.
W przeciwieństwie do klasycznego oprogramowania ransomware dla Androida, Android/Filecoder.C nie uniemożliwia użytkownikom dostępu do ich urządzeń poprzez blokowanie ekranu. Ponadto okup nie jest zdefiniowany jako zakodowana wartość. Kwota żądana przez atakujących jest tworzona dynamicznie przy użyciu identyfikatora użytkownika przypisanego ofierze przez ransomware. Efektem tego procesu jest indywidualna kwota okupu dla każdej ofiary, która waha się od 0.01 do 0.02 BTC.
Aby nie paść ofiarą oprogramowania wymuszającego okup, firma ESET zaleca aktualizowanie urządzeń, pobieranie aplikacji wyłącznie z Google Play lub innych renomowanych sklepów z aplikacjami, sprawdzanie ocen i recenzji aplikacji przed instalacją oraz zwracanie szczególnej uwagi na uprawnienia wymagane przez oprogramowanie wymuszające okup. aplikacja. i korzystaj z mobilnego rozwiązania zabezpieczającego, aby chronić swoje urządzenie.