Novi ransomware za Android koristi SMS spam poruke da bi inficirao uređaje

Opisi virusa, 01.08.2019, 02:30 AM

Novi ransomware za Android koristi SMS spam poruke da bi inficirao uređaje

Novi ransomware koji inficira Android uređaje širi se slanjem SMS poruka, koje sadrže maliciozne linkove, svima sa liste kontakata koja se nalazi na već zaraženom uređaju.

Malver koji su istraživači kompanije ESET nazvali Android/Filecoder.C (FileCoder) trenutno inficira uređaje sa Android 5.1 ili novijim verzijama.

Kada ransomware pošalje ovakve SMS poruke, on šifruje većinu korisničkih fajlova na uređaju i traži otkupninu. Zbog loše enkripcije moguće je dešifrovati šifrovane fajlove bez ikakve pomoći napadača, kažu istraživači.

Međutim, ako programeri ransomwarea uspeju da poprave malver, veliki broj korisnika Androida mogao bi biti ugrožen zbog vrlo opasnog i potencijalno vrlo destruktivnog malvera.

FileCoder se širi od 12. jula. Napadači su distribuirali malver preko postova objavljenih na Redditu i foruma XDA Developers.

Dok su postovi sa XDA uklonjeni posle intervencije ESET-a, na Redditu ih još uvek ima, bar ih je bilo u trenutku kada je ESET-ov istraživač Lukas Stefanko objavio analizu malvera FileCoder.

Programeri FileCodera koriste dva servera za distribuciju ransomwarea, a malver je linkom povezan sa SMS porukama poslatim svima sa liste kontakata žrtava ali i sa postovima na Redditu i XDA.

Korisnici mogu da koriste QR kodove da bi ubrzali preuzimanje APK i instalaciju.

Kao mamac da ubede potencijalne žrtve da instaliraju zaražene Android aplikacije, distributeri FileCodera u SMS porukama tvrde da aplikacija koju treba da preuzmu navodno ima fotografije potencijalne žrtve i da bi ona to trebalo da vidi.

Postovi na forumu Reddit i XDA reklamiraju zlonamernu aplikaciju kao besplatnu igru - seks simulator.

Malver traži dozvole, između ostalog, za pristup eksternoj memoriji, čitanje kontakata, slanje SMS poruka i prustup internetu.

Ransomware koristi šablone za poruke na 42 jezika. Pre slanja poruka bira verziju koja odgovara jezičkom podešavanju uređaja žrtve.

FileCoder od žrtava traži otkupninu koju treba platiti Bitocinima, pri čemu se Bitcoin adrese i server za komandu i kontrolu (C2) nalaze u kodu malvera, ali postoji mogućnost da se nove adrese šalju preko Pastebina.

FileCoder će se proširiti preko SMS poruka koje se šalju kontaktima žrtve koje malver pronalazi na telefonu, pre nego što počne da šifruje fajlove na uređaju kojima može da pristupi. Svakom šifrovanom fajlu, malver dodaje ekstenziju .seven. Sistemski fajlovi će biti preskočeni.

Ransomware takođe preskače fajlove ako imaju ekstenzije .zip ili .rar i ako je veličina fajla veća od 51.200 KB/50 MB, i fajlove .jpeg, .jpg i .png, sa veličinom manjom od 150 KB.

Malver šifruje čudnu kombinaciju fajlova, kao i čudnu kombinaciju nepovezanih tipova dokumenata, što istraživači ESET-a objašnjavaju time da je lista preuzeta od WannaCryptor ili WannaCry ransomwarea.

Kada FileCoder završi sa šifrovanjem, prikazaće se poruka o otkupnini, u kojoj se navodi tačan broj šifrovanih fajlova, ali i koliko vremena žrtva ima da plati za ključ za dešifrovanje. Iznosi otkupnine se kreću od 94 do188 dolara.

Iako se u poruci tvrdi da će podaci biti zauvek izgubljeni ako žrtva ne plati u roku od tri dana, nema ničeg u kodu ransomwarea što govori u prilog tvrdnji da će se to desiti.

Za razliku od većine ransomwarea za Android, FileCoder ne zaključava ekran i omogućava žrtvama da nastave da koriste svoje uređaje, jer kriminalci očigledno računaju na to da će žrtve želeti da njihovi fajlovi budu što pre vraćeni.

FileCoder šifruje fajlove koristeći nove AES ključeve za svaki fajl koji zaključava. Malver koristi par javnih i privatnih ključeva, pri čemu se ovi drugi šifruju RSA algoritmom.

Međutim, budući da su programeri ransomwarea hardkodovali vrednost koja se koristi za šifrovanje privatnog ključa u kodu ransomwarea, žrtve bi mogle da dešifruju svoje podatke bez plaćanja otkupnine.

Na stranici za verifikaciju plaćanja je email adresa za podršku za one koji zatraže pomoć ako naiđu na neki problem: "Ako imate bilo kakva pitanja, kontaktirajte nas. Naša email adresa je: h3athledger[@]yandex.ru".


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi malver za macOS krije se u piratskom softveru

Novi malver za macOS krije se u piratskom softveru

Stručnjaci iz kompanije Kaspersky upozoravaju da sajber kriminalci napadaju korisnike macOS-a novim proksi trojanskim malverom koji je sakriven u pop... Dalje

Malver Atomic Stealer inficira macOS putem lažnog ažuriranja za pretraživače

Malver Atomic Stealer inficira macOS putem lažnog ažuriranja za pretraživače

Atomic Stealer, takođe poznat i kao AMOS, je malver za Mac OS koji se trenutno širi preko lažnog ažuriranja pretraživača pod nazivom „Clea... Dalje

Kako malver Ducktail krade Facebook naloge

Kako malver Ducktail krade Facebook naloge

Istraživači kompanije Kaspersky otkrili su novu verziju malvera Ducktail koju sajber kriminalci koriste za napade na zaposlene u kompanijama koji su... Dalje

Sajber kriminalci imaju novu taktiku kojom sprečavaju otkrivanje malvera

Sajber kriminalci imaju novu taktiku kojom sprečavaju otkrivanje malvera

Malver LummaC2 v4.0 koji krade podatke, izbegava otkrivanje koristeći trigonometriju da bi razlikovao ljudske korisnike od automatizovanih alata za ... Dalje

Malver StripedFly zarazio više od milion računara

Malver StripedFly zarazio više od milion računara

Punih pet godina jedan malver ostao je neprimećen zarazivši za to vreme više od milion Windows i Linux sistema. Pravu prirodu malvera StripedFly ko... Dalje