Haar onderzoekers ESET ontdekte een nieuwe familie van ransomware-aanvallen Android, de Android / Filecoder.C, die de contactlijst van de slachtoffers gebruikt en zich verder probeert te verspreiden via SMS met kwaadaardige links.
Τdeze nieuwe ransomware verspreidt zich op Reddit via pornografische inhoud. ESET heeft het kwaadwillende profiel gerapporteerd dat in de ransomware-verspreidingscampagne is gebruikt, maar het is nog steeds actief. Korte tijd liep de campagne ook op "XDA developers", een forum voor Android-ontwikkelaars. Volgens het ESET-rapport hebben cybercriminelen die ransomware gebruiken de kwaadaardige berichten verwijderd.
Android / Filecoder.C maakt gebruik van interessante spreadsheets. Voordat de bestandscodering begint, worden er meerdere sms-berichten verzonden naar elk adres in de lijst met contactpersonen van het slachtoffer, waarbij de ontvangers worden gevraagd op een kwaadaardige link te klikken die naar het installatiebestand van de ransomware leidt. "Theoretisch kunnen er eindeloze infecties optreden, aangezien dit kwaadaardige bericht in 42 talen beschikbaar is. Gelukkig kunnen zelfs de minder achterdochtige gebruikers begrijpen dat de berichten niet correct zijn vertaald en in sommige talen niet logisch lijken', zegt Lukáš Štefanko, hoofd onderzoek.
Naast het niet-traditionele implementatiemechanisme, heeft Android / Filecoder.C enkele anomalieën in de codering. Sluit grote bestanden (meer dan 50 MB) en kleine afbeeldingen (minder dan 150 kB) uit, terwijl de lijst met "bestandstypen voor codering" veel vermeldingen bevat die niet gerelateerd zijn aan Android, terwijl enkele van de extensies die gebruikelijk zijn voor Android ontbreken. "Het is duidelijk dat de lijst is gekopieerd van de beruchte WannaCry-ransomware", merkt Štefanko op.
Er zijn nog andere interessante feiten over de onorthodoxe aanpak die door de ontwikkelaars van deze malware wordt gebruikt. In tegenstelling tot standaard ransomware voor Android, verhindert Android / Filecoder.C niet dat de gebruiker toegang krijgt tot het apparaat door het scherm te sluiten. Bovendien is er geen specifiek bedrag ingesteld als losgeld. In plaats daarvan wordt het bedrag dat aanvallers vragen in ruil voor de belofte om de bestanden te ontsleutelen dynamisch gegenereerd met behulp van de gebruikers-ID die ransomware voor dat slachtoffer heeft opgegeven. Dit proces resulteert erin dat het losgeldbedrag elke keer uniek is, variërend van 0,01-0,02 BTC.
«De truc met het unieke losgeld is ongekend: we hebben het nog nooit gezien bij ransomware die zich richt op het Android-ecosysteem", zegt ftefanko. «Het doel is eerder om betalingen per slachtoffer te identificeren, wat meestal wordt opgelost door een unieke Bitcoin-portemonnee te maken voor elk versleuteld apparaat. In deze campagne hebben we gedetecteerd dat er slechts één Bitcoin-portemonnee werd gebruikt.
Volgens Lukáš ftefanko lopen gebruikers met apparaten die worden beschermd door ESET Mobile Security geen risico door deze dreiging. «Ze ontvangen een melding over een kwaadaardige link. Zelfs als ze de waarschuwing negeren en de applicatie downloaden, blokkeert de beveiligingsoplossing deze.
[the_ad_group id = ”966 ″]ΜVergeet niet om lid te worden (registreren) op ons forum, wat heel gemakkelijk kan worden gedaan door de volgende knop...
(Als je al een account op ons forum hebt, hoef je de registratielink niet te volgen)
Sluit je aan bij onze gemeenschap
Volg ons op Telegram!
