Hendes forskere ESET opdagede en ny familie af ransomware-angreb Android, det Android / Filecoder.C, som bruger ofrenes kontaktliste og forsøger at sprede sig videre igennem SMS med ondsindede links.
Τdenne nye ransomware spredes på Reddit gennem pornografisk indhold. ESET har rapporteret den ondsindede profil, der blev brugt i ransomware-spredningskampagnen, men den er stadig aktiv. I en kort periode havde kampagnen også kørt på "XDA developers", et forum for Android-udviklere. Ifølge ESET-rapporten har cyberkriminelle, der driver ransomware, fjernet de ondsindede indlæg.
Android / Filecoder.C bruger interessante regneark. Inden filkryptering påbegyndes, sendes flere tekstbeskeder til hver adresse på offerets kontaktliste, hvilket får modtagerne til at klikke på et ondsindet link, der fører til ransomware-installationsfilen. "Teoretisk set kan endeløse infektioner forekomme, da denne ondsindede besked er tilgængelig på 42 sprog. Heldigvis kan selv de mindst mistænkelige brugere forstå, at meddelelserne ikke er korrekt oversat og på nogle sprog ikke ser ud til at give mening," sagde Lukáš Štefanko, forskningschef.
Ud over dens utraditionelle regnearksmekanisme har Android / Filecoder.C nogle anomalier i kryptering. Udelukker store filer (over 50 MB) og små billeder (under 150 kB), mens listen over "filtyper til kryptering" indeholder mange poster, der ikke er relateret til Android, mens nogle af de udvidelser, der er fælles for Android, mangler . "Selvfølgelig er listen blevet kopieret fra den berygtede WannaCry ransomware," bemærker Štefanko.
Der er andre interessante fakta om den uortodokse tilgang, som udviklerne af denne malware bruger. I modsætning til standard ransomware til Android forhindrer Android / Filecoder.C ikke brugeren i at få adgang til enheden ved at lukke skærmen. Derudover er der ikke fastsat noget specifikt beløb som løsesum. I stedet bliver det beløb, som angriberne beder om i bytte for løftet om at dekryptere filerne, dynamisk genereret ved hjælp af det bruger-id, som ransomware har specificeret for det pågældende offer. Denne proces resulterer i, at løsesummen er unik hver gang, der spænder fra 0,01-0,02 BTC.
«Tricket med den unikke løsesum er hidtil uset: vi har aldrig set det i nogen ransomware rettet mod Android-økosystemet", siger ftefanko. «Målet er snarere at identificere betalinger pr. offer, hvilket normalt løses ved at skabe en unik Bitcoin-pung for hver krypteret enhed. I denne kampagne opdagede vi, at der kun blev brugt én Bitcoin-pung'.
Ifølge Lukáš ftefanko er brugere af enheder beskyttet af ESET Mobile Security ikke i fare for denne trussel. «De modtager besked om ondsindet link. Selvom de ignorerer advarslen og downloader applikationen, vil sikkerhedsløsningen blokere den'.
[the_ad_group id = ”966 ″]ΜGlem ikke at tilmelde dig (registrer dig) i vores forum, hvilket kan gøres meget nemt ved at trykke på følgende knap...
(Hvis du allerede har en konto i vores forum, behøver du ikke følge registreringslinket)
Følg os på Telegram!
