Novi ransomware za Android koristi SMS spam poruke da bi inficirao uređaje

Opisi virusa, 01.08.2019, 02:30 AM

Novi ransomware za Android koristi SMS spam poruke da bi inficirao uređaje

Novi ransomware koji inficira Android uređaje širi se slanjem SMS poruka, koje sadrže maliciozne linkove, svima sa liste kontakata koja se nalazi na već zaraženom uređaju.

Malver koji su istraživači kompanije ESET nazvali Android/Filecoder.C (FileCoder) trenutno inficira uređaje sa Android 5.1 ili novijim verzijama.

Kada ransomware pošalje ovakve SMS poruke, on šifruje većinu korisničkih fajlova na uređaju i traži otkupninu. Zbog loše enkripcije moguće je dešifrovati šifrovane fajlove bez ikakve pomoći napadača, kažu istraživači.

Međutim, ako programeri ransomwarea uspeju da poprave malver, veliki broj korisnika Androida mogao bi biti ugrožen zbog vrlo opasnog i potencijalno vrlo destruktivnog malvera.

FileCoder se širi od 12. jula. Napadači su distribuirali malver preko postova objavljenih na Redditu i foruma XDA Developers.

Dok su postovi sa XDA uklonjeni posle intervencije ESET-a, na Redditu ih još uvek ima, bar ih je bilo u trenutku kada je ESET-ov istraživač Lukas Stefanko objavio analizu malvera FileCoder.

Programeri FileCodera koriste dva servera za distribuciju ransomwarea, a malver je linkom povezan sa SMS porukama poslatim svima sa liste kontakata žrtava ali i sa postovima na Redditu i XDA.

Korisnici mogu da koriste QR kodove da bi ubrzali preuzimanje APK i instalaciju.

Kao mamac da ubede potencijalne žrtve da instaliraju zaražene Android aplikacije, distributeri FileCodera u SMS porukama tvrde da aplikacija koju treba da preuzmu navodno ima fotografije potencijalne žrtve i da bi ona to trebalo da vidi.

Postovi na forumu Reddit i XDA reklamiraju zlonamernu aplikaciju kao besplatnu igru - seks simulator.

Malver traži dozvole, između ostalog, za pristup eksternoj memoriji, čitanje kontakata, slanje SMS poruka i prustup internetu.

Ransomware koristi šablone za poruke na 42 jezika. Pre slanja poruka bira verziju koja odgovara jezičkom podešavanju uređaja žrtve.

FileCoder od žrtava traži otkupninu koju treba platiti Bitocinima, pri čemu se Bitcoin adrese i server za komandu i kontrolu (C2) nalaze u kodu malvera, ali postoji mogućnost da se nove adrese šalju preko Pastebina.

FileCoder će se proširiti preko SMS poruka koje se šalju kontaktima žrtve koje malver pronalazi na telefonu, pre nego što počne da šifruje fajlove na uređaju kojima može da pristupi. Svakom šifrovanom fajlu, malver dodaje ekstenziju .seven. Sistemski fajlovi će biti preskočeni.

Ransomware takođe preskače fajlove ako imaju ekstenzije .zip ili .rar i ako je veličina fajla veća od 51.200 KB/50 MB, i fajlove .jpeg, .jpg i .png, sa veličinom manjom od 150 KB.

Malver šifruje čudnu kombinaciju fajlova, kao i čudnu kombinaciju nepovezanih tipova dokumenata, što istraživači ESET-a objašnjavaju time da je lista preuzeta od WannaCryptor ili WannaCry ransomwarea.

Kada FileCoder završi sa šifrovanjem, prikazaće se poruka o otkupnini, u kojoj se navodi tačan broj šifrovanih fajlova, ali i koliko vremena žrtva ima da plati za ključ za dešifrovanje. Iznosi otkupnine se kreću od 94 do188 dolara.

Iako se u poruci tvrdi da će podaci biti zauvek izgubljeni ako žrtva ne plati u roku od tri dana, nema ničeg u kodu ransomwarea što govori u prilog tvrdnji da će se to desiti.

Za razliku od većine ransomwarea za Android, FileCoder ne zaključava ekran i omogućava žrtvama da nastave da koriste svoje uređaje, jer kriminalci očigledno računaju na to da će žrtve želeti da njihovi fajlovi budu što pre vraćeni.

FileCoder šifruje fajlove koristeći nove AES ključeve za svaki fajl koji zaključava. Malver koristi par javnih i privatnih ključeva, pri čemu se ovi drugi šifruju RSA algoritmom.

Međutim, budući da su programeri ransomwarea hardkodovali vrednost koja se koristi za šifrovanje privatnog ključa u kodu ransomwarea, žrtve bi mogle da dešifruju svoje podatke bez plaćanja otkupnine.

Na stranici za verifikaciju plaćanja je email adresa za podršku za one koji zatraže pomoć ako naiđu na neki problem: "Ako imate bilo kakva pitanja, kontaktirajte nas. Naša email adresa je: h3athledger[@]yandex.ru".


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Ransomware se pretvara da je Windowsov sigurnosni skener da bi prevario korisnike da ga instaliraju

Ransomware se pretvara da je Windowsov sigurnosni skener da bi prevario korisnike da ga instaliraju

Pre nedelju dana otkriven je malver koji se pretvara da je Microsoftov sigurnosni skener. Namerno ili greškom, malver oštećuje fajlove žrtava. Ist... Dalje

Francuska policija krišom uklonila malver RETADUP sa 850000 zaraženih računara

Francuska policija krišom uklonila malver RETADUP sa 850000 zaraženih računara

Francuska Nacionalna žandarmerija objavila je juče da je više od 850000 računara širom sveta oslobođeno trenutno jednog od najraširenijeg malve... Dalje

Malver GermanWiper briše podatke, ali ipak traži otkupninu za fajlove koje ne može da vrati

Malver GermanWiper briše podatke, ali ipak traži otkupninu za fajlove koje ne može da vrati

Prošla nedelja počela je loše za veći broj nemačkih kompanija koje je blokirao malver koji briše podatke i koji je u ime onih koji su ga širili... Dalje

Novi ransomware za Android koristi SMS spam poruke da bi inficirao uređaje

Novi ransomware za Android koristi SMS spam poruke da bi inficirao uređaje

Novi ransomware koji inficira Android uređaje širi se slanjem tekstualnih poruka koje sadrže maliciozne linkove svima sa liste kontakata koja se na... Dalje

Lažni Office 365 sajt inficira posetioce trojancem TrickBot sakrivenim u ažuriranje za Chrome i Firefox

Lažni Office 365 sajt inficira posetioce trojancem TrickBot sakrivenim u ažuriranje za Chrome i Firefox

Napadači su kreirali lažni Office 365 sajt koji distribuira trojanca TrickBot koji krade lozinke. Trojanac je sakriven u lažnim ažuriranjima za Ch... Dalje