I suoi ricercatori ESET scoperto una nuova famiglia di attacchi ransomware Android, il Android / Codificatore di file.C, che utilizza l'elenco dei contatti delle vittime e cerca di diffondersi ulteriormente attraverso sms con collegamenti dannosi.
Τquesto nuovo ransomware si sta diffondendo su Reddit attraverso contenuti pornografici. ESET ha segnalato il profilo dannoso utilizzato nella campagna di diffusione del ransomware, ma è ancora attivo. Per un breve periodo la campagna è stata condotta anche su "XDA developer", un forum per sviluppatori Android. Secondo il rapporto ESET, i criminali informatici che gestiscono ransomware hanno rimosso i post dannosi.
Android / Filecoder.C utilizza fogli di calcolo interessanti. Prima che inizi la crittografia dei file, vengono inviati più messaggi di testo a ciascun indirizzo nell'elenco dei contatti della vittima, chiedendo ai destinatari di fare clic su un collegamento dannoso che porta al file di installazione del ransomware. "In teoria, possono verificarsi infezioni infinite, poiché questo messaggio dannoso è disponibile in 42 lingue. Fortunatamente, anche gli utenti meno sospettosi possono capire che i messaggi non sono tradotti correttamente e in alcune lingue sembrano non avere senso", ha affermato Lukáš Štefanko, responsabile della ricerca.
Oltre al suo meccanismo di distribuzione non tradizionale, Android / Filecoder.C presenta alcune anomalie nella sua crittografia. Esclude i file di grandi dimensioni (oltre 50 MB) e le immagini piccole (sotto i 150 kB), mentre l'elenco dei "tipi di file per la crittografia" contiene molte voci non relative ad Android, mentre mancano alcune delle estensioni comuni per Android. "Ovviamente, l'elenco è stato copiato dal famigerato ransomware WannaCry", osserva Štefanko.
Ci sono altri fatti interessanti sull'approccio non ortodosso utilizzato dagli sviluppatori di questo malware. A differenza del ransomware standard per Android, Android/Filecoder.C non impedisce all'utente di accedere al dispositivo chiudendo lo schermo. Inoltre, non è stato fissato alcun importo specifico come riscatto. Invece, l'importo richiesto dagli aggressori in cambio della promessa di decifrare i file viene generato dinamicamente utilizzando l'ID utente che il ransomware ha specificato per quella vittima. Questo processo fa sì che l'importo del riscatto sia unico ogni volta, compreso tra 0,01 e 0,02 BTC.
«Il trucco con il riscatto unico non ha precedenti: non l'abbiamo mai visto in nessun ransomware destinato all'ecosistema Android", Dice ftfanko. «Piuttosto, l'obiettivo è identificare i pagamenti per vittima, che di solito viene risolto creando un portafoglio Bitcoin univoco per ogni dispositivo crittografato. In questa campagna, abbiamo rilevato che è stato utilizzato un solo portafoglio Bitcoin'.
Secondo Lukáš ftefanko, gli utenti con dispositivi protetti da ESET Mobile Security non sono a rischio di questa minaccia. «Ricevono una notifica sul collegamento dannoso. Anche se ignorano l'avviso e scaricano l'applicazione, la soluzione di sicurezza la bloccherà'.
[l'id_gruppo_di_annunci = ”966 ″]ΜNon dimenticare di unirti (registrarti) nel nostro forum, cosa che può essere fatta molto facilmente con il seguente pulsante...
(Se hai già un account nel nostro forum non è necessario seguire il link di registrazione)
Unisciti alla nostra community
Seguici su Telegram!
