Novi ransomware za Android koristi SMS spam poruke da bi inficirao uređaje

Opisi virusa, 01.08.2019, 02:30 AM

Novi ransomware koji inficira Android uređaje širi se slanjem SMS poruka, koje sadrže maliciozne linkove, svima sa liste kontakata koja se nalazi na već zaraženom uređaju.

Malver koji su istraživači kompanije ESET nazvali Android/Filecoder.C (FileCoder) trenutno inficira uređaje sa Android 5.1 ili novijim verzijama.

Kada ransomware pošalje ovakve SMS poruke, on šifruje većinu korisničkih fajlova na uređaju i traži otkupninu. Zbog loše enkripcije moguće je dešifrovati šifrovane fajlove bez ikakve pomoći napadača, kažu istraživači.

Međutim, ako programeri ransomwarea uspeju da poprave malver, veliki broj korisnika Androida mogao bi biti ugrožen zbog vrlo opasnog i potencijalno vrlo destruktivnog malvera.

FileCoder se širi od 12. jula. Napadači su distribuirali malver preko postova objavljenih na Redditu i foruma XDA Developers.

Dok su postovi sa XDA uklonjeni posle intervencije ESET-a, na Redditu ih još uvek ima, bar ih je bilo u trenutku kada je ESET-ov istraživač Lukas Stefanko objavio analizu malvera FileCoder.

Programeri FileCodera koriste dva servera za distribuciju ransomwarea, a malver je linkom povezan sa SMS porukama poslatim svima sa liste kontakata žrtava ali i sa postovima na Redditu i XDA.

Korisnici mogu da koriste QR kodove da bi ubrzali preuzimanje APK i instalaciju.

Kao mamac da ubede potencijalne žrtve da instaliraju zaražene Android aplikacije, distributeri FileCodera u SMS porukama tvrde da aplikacija koju treba da preuzmu navodno ima fotografije potencijalne žrtve i da bi ona to trebalo da vidi.

Postovi na forumu Reddit i XDA reklamiraju zlonamernu aplikaciju kao besplatnu igru - seks simulator.

Malver traži dozvole, između ostalog, za pristup eksternoj memoriji, čitanje kontakata, slanje SMS poruka i prustup internetu.

Ransomware koristi šablone za poruke na 42 jezika. Pre slanja poruka bira verziju koja odgovara jezičkom podešavanju uređaja žrtve.

FileCoder od žrtava traži otkupninu koju treba platiti Bitocinima, pri čemu se Bitcoin adrese i server za komandu i kontrolu (C2) nalaze u kodu malvera, ali postoji mogućnost da se nove adrese šalju preko Pastebina.

FileCoder će se proširiti preko SMS poruka koje se šalju kontaktima žrtve koje malver pronalazi na telefonu, pre nego što počne da šifruje fajlove na uređaju kojima može da pristupi. Svakom šifrovanom fajlu, malver dodaje ekstenziju .seven. Sistemski fajlovi će biti preskočeni.

Ransomware takođe preskače fajlove ako imaju ekstenzije .zip ili .rar i ako je veličina fajla veća od 51.200 KB/50 MB, i fajlove .jpeg, .jpg i .png, sa veličinom manjom od 150 KB.

Malver šifruje čudnu kombinaciju fajlova, kao i čudnu kombinaciju nepovezanih tipova dokumenata, što istraživači ESET-a objašnjavaju time da je lista preuzeta od WannaCryptor ili WannaCry ransomwarea.

Kada FileCoder završi sa šifrovanjem, prikazaće se poruka o otkupnini, u kojoj se navodi tačan broj šifrovanih fajlova, ali i koliko vremena žrtva ima da plati za ključ za dešifrovanje. Iznosi otkupnine se kreću od 94 do188 dolara.

Iako se u poruci tvrdi da će podaci biti zauvek izgubljeni ako žrtva ne plati u roku od tri dana, nema ničeg u kodu ransomwarea što govori u prilog tvrdnji da će se to desiti.

Za razliku od većine ransomwarea za Android, FileCoder ne zaključava ekran i omogućava žrtvama da nastave da koriste svoje uređaje, jer kriminalci očigledno računaju na to da će žrtve želeti da njihovi fajlovi budu što pre vraćeni.

FileCoder šifruje fajlove koristeći nove AES ključeve za svaki fajl koji zaključava. Malver koristi par javnih i privatnih ključeva, pri čemu se ovi drugi šifruju RSA algoritmom.

Međutim, budući da su programeri ransomwarea hardkodovali vrednost koja se koristi za šifrovanje privatnog ključa u kodu ransomwarea, žrtve bi mogle da dešifruju svoje podatke bez plaćanja otkupnine.

Na stranici za verifikaciju plaćanja je email adresa za podršku za one koji zatraže pomoć ako naiđu na neki problem: "Ako imate bilo kakva pitanja, kontaktirajte nas. Naša email adresa je: h3athledger[@]yandex.ru".