Google Android
Un nou ransomware pentru dispozitive mobile a apărut online. Virusul digital care se mută și evoluează vizează smartphone-urile care rulează sistemul de operare Android Google. Programul malware încearcă să intre prin intermediul unui mesaj SMS simplu, dar inteligent deghizat, apoi sapă adânc în sistemul intern al telefonului mobil. Pe lângă ținerea ostaticilor critici și sensibili, noul vierme încearcă agresiv să se răspândească la alte victime prin intermediul platformelor de comunicare ale smartphone-ului compromis. Noua familie de ransomware marchează o etapă importantă, dar îngrijorătoare, în sistemul de operare Android Google, care a fost considerat din ce în ce mai relativ relativ sigur de atacurile cibernetice vizate.
Profesioniștii în securitate cibernetică care lucrează pentru popularul dezvoltator antivirus, firewall și alte instrumente de protecție digitală ESET, au descoperit o nouă familie de ransomware concepută pentru a ataca sistemul de operare mobil Android al Google. Calul troian digital utilizează mesaje SMS pentru a se răspândi, au remarcat cercetătorii. Cercetătorii ESET au numit noul malware drept Android / Filecoder.C și au observat o activitate crescută a acestuia. De altfel, ransomware-ul pare a fi destul de nou, dar marchează sfârșitul unui declin de doi ani al noilor detectări de malware Android. Pur și simplu, se pare că hackerii par să aibă un interes reînnoit în direcționarea sistemelor de operare ale smartphone-urilor. Chiar astăzi am raportat mai multe Vulnerabilități de securitate „Zero Interaction” care au fost descoperite în sistemul de operare Apple iPhone iOS .
Filecoder activ din iulie 2019, dar se răspândește rapid și agresiv prin inginerie socială inteligentă
Potrivit companiei slovace de antivirus și securitate cibernetică, Filecoder a fost observat în natură foarte recent. Cercetătorii ESET susțin că au observat că ransomware-ul s-a răspândit activ începând cu 12 iulie 2019. Pur și simplu, malware-ul pare să fi apărut în urmă cu mai puțin de o lună, dar impactul său ar putea crește în fiecare zi.
Virusul este deosebit de interesant, deoarece atacurile asupra sistemului de operare Android Google au scăzut constant de aproximativ doi ani. Acest lucru a generat o percepție generală că Android era în cea mai mare parte imun la viruși sau că hackerii nu urmăreau în mod specific smartphone-urile și, în schimb, vizau computerele desktop sau alte componente hardware și electronice. Smartphone-urile sunt dispozitive destul de personale și, prin urmare, ar putea fi considerate ca potențiale ținte limitate în comparație cu dispozitivele utilizate în companii și organizații. Direcționarea computerelor sau a dispozitivelor electronice în astfel de setări mari are mai multe beneficii potențiale, deoarece o mașină compromisă poate oferi o modalitate rapidă de a compromite alte câteva dispozitive. Apoi, este o chestiune de analiză a informațiilor pentru a alege informații sensibile. De altfel, mai multe grupuri de hacking par să aibă pivotat pentru a efectua atacuri de spionaj pe scară largă .
ALERTĂ DE SIGURANȚĂ: apare Android Ransomware FileCoder Strain: O nouă varietate de ransomware a apărut pe Android #mobil dispozitive. Se adresează celor care rulează sistemul de operare Android 5.1 sau o versiune ulterioară. Această varietate de ransomware Android a fost dublată de ... https://t.co/edFpo45qbp pic.twitter.com/9r39kxS5iB
- Aquia Solutions (@AquiaSolutions) 30 iulie 2019
Noul ransomware, pe de altă parte, încearcă doar să restricționeze proprietarul smartphone-ului Android de la accesarea informațiilor personale. Nu există nicio indicație că malware-ul încearcă să scurgă sau să fure informații personale sau sensibile sau să instaleze alte încărcături utile, cum ar fi keylogger-uri sau trackere de activitate, pentru a încerca să obțină acces la informații financiare.
Cum se răspândește Filecoder Ransomware pe sistemul de operare Google Android?
Cercetătorii au descoperit că ransomware-ul Filecoder se răspândește prin sistemul de mesagerie Android sau SMS, dar punctul său de origine este în altă parte. Virusul pare să se lanseze prin postări rău intenționate pe forumuri online, inclusiv Reddit și placa de mesagerie pentru dezvoltatori Android XDA Developers. După ce ESET a subliniat postările rău intenționate, XDA Developers a luat măsuri rapide și a eliminat mass-media suspectată, dar conținutul îndoielnic era încă activ în momentul publicării pe Reddit.
Majoritatea postărilor și comentariilor rău intenționate găsite de ESET încearcă să atragă victimele să descarce malware-ul. Virusul atrage victima mimând conținutul care este de obicei asociat cu material pornografic. În unele cazuri, cercetătorii au observat, de asemenea, că unele subiecte tehnice sunt folosite ca momeli. În majoritatea cazurilor, însă, atacatorii au inclus link-uri sau coduri QR care indicau aplicațiile rău intenționate.
Pentru a evita detectarea imediată înainte de a fi accesat, linkurile malware-ului sunt mascate ca linkuri bit.ly. Mai multe astfel de site-uri de scurtare a linkurilor au fost folosite în trecut pentru a direcționa utilizatorii de internet nebănuși către site-uri web rău intenționate, pentru a efectua phishing și alte atacuri cibernetice.
Hackerii răspândesc Android Ransomware prin SMS către persoanele de contact și criptează fișierele dispozitivului: o nouă familie de Android Ransomware numită Android / Filecoder.C a distribuit diferite forumuri online și folosește în continuare lista de contacte a victimei la SMS cu un ... https://t.co/ddqwtfswl5 pic.twitter.com/6PJjmNyZKB
- Shah Sheikh (@shah_sheikh) 30 iulie 2019
Odată ce ransomware-ul Filecoder s-a instalat ferm pe dispozitivul mobil Android al victimei, acesta nu începe imediat să blocheze informațiile utilizatorului. În schimb, malware-ul face raid mai întâi contactelor sistemului Android. Cercetătorii au observat un comportament interesant, dar deranjant de agresiv al ransomware-ului Filecoder. În esență, malware-ul trece rapid, dar temeinic prin lista de contacte a victimei pentru a se răspândi.
Programele malware încearcă să trimită un mesaj text generat automat cu atenție la fiecare intrare din lista de contacte a dispozitivului mobil Android. Pentru a spori șansele ca potențialele victime să facă clic și să descarce ransomware-ul, virusul Filecoder implementează un truc interesant. Link-ul conținut în mesajul text contaminat este promovat ca o aplicație. Mai important, malware-ul asigură că mesajul conține fotografia de profil a potențialei victime. Mai mult, fotografia este poziționată cu atenție pentru a se potrivi într-o aplicație pe care victima o folosește deja. În realitate, este o aplicație falsă rău intenționată care adăpostește ransomware-ul.
Și mai îngrijorător este faptul că ransomware-ul Filecoder este codificat pentru a fi multilingv. Cu alte cuvinte, în funcție de setarea de limbă a dispozitivului infectat, mesajele pot fi trimise într-una din cele 42 de versiuni lingvistice posibile. De asemenea, malware-ul introduce automat numele contactului în mesaj, pentru a spori autenticitatea percepută.
Cum se infectează și funcționează Filecoder Ransomware?
Link-urile generate de malware conțin de obicei o aplicație care încearcă să atragă victimele. Scopul real al aplicației false este să ruleze discret în fundal. Această aplicație conține setări de comandă și control (C2) codificate, precum și adrese de portofel Bitcoin, în codul său sursă. Atacatorii au folosit, de asemenea, platforma populară de partajare a notelor online Pastebin, dar servește doar ca o conductă pentru recuperarea dinamică și, eventual, pentru alte puncte de infecție.
După ce ransomware-ul Filecoder a trimis cu succes SMS-urile în serie și a finalizat sarcina, acesta scanează dispozitivul infectat pentru a găsi toate fișierele de stocare și criptează majoritatea acestora. Cercetătorii ESET au descoperit că malware-ul va cripta toate tipurile de extensii de fișiere care sunt utilizate în mod obișnuit pentru fișiere text, imagini, videoclipuri etc. Dar, dintr-un anumit motiv, lasă fișiere specifice Android, cum ar fi .apk sau .dex. De asemenea, malware-ul nu atinge fișierele .Zip și .RAR comprimate și fișierele de peste 50 MB. Cercetătorii suspectează că creatorii de programe malware ar fi putut să facă o sarcină slabă de copiere-lipire a conținutului din WannaCry, o formă mult mai severă și prolifică de ransomware. Toate fișierele criptate sunt atașate cu extensia „.seven”
Cercetătorii descoperă Android / Filecoder.C, o nouă familie Android de ransomware care încearcă să se răspândească la contactele victimelor și să implementeze câteva trucuri neobișnuite https://t.co/5iCvkVbAND @securitatevietii @CAZ #ransomware #Android pic.twitter.com/d150eY4N7X
- David Bisson (@DMBisson) 30 iulie 2019
După criptarea cu succes a fișierelor de pe dispozitivul mobil Android, ransomware-ul clipește apoi o notă tipică de răscumpărare care conține cerințe. Cercetătorii au observat că ransomware-ul Filecoder face cereri cuprinse între aproximativ 98 $ și 188 $ în criptomonede. Pentru a crea un sentiment de urgență, malware-ul are, de asemenea, un temporizator simplu, care durează aproximativ 3 zile sau 72 de ore. Nota de răscumpărare menționează, de asemenea, câte fișiere ține ostatică.
Interesant este că ransomware-ul nu blochează ecranul dispozitivului și nu împiedică utilizarea unui smartphone. Cu alte cuvinte, victimele își pot folosi în continuare smartphone-ul Android, dar nu vor avea acces la datele lor. Mai mult, chiar dacă victimele dezinstalează cumva aplicația rău intenționată sau suspectată, aceasta nu anulează modificările sau decriptează fișierele. Filecoder generează o pereche de chei publice și private atunci când criptează conținutul unui dispozitiv. Cheia publică este criptată cu un puternic algoritm RSA-1024 și o valoare codificată hard care este trimisă creatorilor. După ce victima plătește prin detaliile Bitcoin furnizate, atacatorul poate decripta cheia privată și o poate elibera victimei.
Filecoder nu numai că este agresiv, ci și complex de scăpat:
Cercetătorii ESET au raportat mai devreme că valoarea cheii codificate hard poate fi utilizată pentru decriptarea fișierelor fără plata taxei de șantaj prin „schimbarea algoritmului de criptare într-un algoritm de decriptare”. Pe scurt, cercetătorii au simțit că creatorii ransomware-ului Filecoder au lăsat în mod accidental o metodă destul de simplă de a crea un decriptor.
„Datorită direcționării restrânse și a defectelor atât în executarea campaniei, cât și în implementarea criptării sale, impactul acestui nou ransomware este limitat. Cu toate acestea, dacă dezvoltatorii remediază defectele și operatorii încep să vizeze grupuri mai largi de utilizatori, ransomware-ul Android / Filecoder.C ar putea deveni o amenințare serioasă. ”
cercetătorii și-au actualizat postarea despre ransomware-ul Filecoder și a clarificat că „această„ cheie codificată ”este o cheie publică RSA-1024, care nu poate fi ușor de rupt, prin urmare crearea unui decriptor pentru acest ransomware este aproape imposibilă”.
În mod ciudat, cercetătorii au observat, de asemenea, că nu există nimic în codul ransomware care să susțină afirmația că datele afectate se vor pierde după terminarea cronometrului. Mai mult, creatorii malware-ului par să se joace cu suma de răscumpărare. În timp ce 0,01 Bitcoin sau BTC rămâne standard, numerele ulterioare par a fi ID-ul de utilizator generat de malware. Cercetătorii suspectează că această metodă ar putea servi drept factor de autentificare pentru a potrivi plățile primite cu victima pentru a genera și a expedia cheia de decriptare.
Etichete Android
