Prikaži glavni meni

Novi ransomware za Android koristi SMS spam poruke da bi inficirao uređaje

Opisi virusa, 01.08.2019, 02:30 AM

Novi ransomware koji inficira Android uređaje širi se slanjem SMS poruka, koje sadrže maliciozne linkove, svima sa liste kontakata koja se nalazi na već zaraženom uređaju.

Malver koji su istraživači kompanije ESET nazvali Android/Filecoder.C (FileCoder) trenutno inficira uređaje sa Android 5.1 ili novijim verzijama.

Kada ransomware pošalje ovakve SMS poruke, on šifruje većinu korisničkih fajlova na uređaju i traži otkupninu. Zbog loše enkripcije moguće je dešifrovati šifrovane fajlove bez ikakve pomoći napadača, kažu istraživači.

Međutim, ako programeri ransomwarea uspeju da poprave malver, veliki broj korisnika Androida mogao bi biti ugrožen zbog vrlo opasnog i potencijalno vrlo destruktivnog malvera.

FileCoder se širi od 12. jula. Napadači su distribuirali malver preko postova objavljenih na Redditu i foruma XDA Developers.

Dok su postovi sa XDA uklonjeni posle intervencije ESET-a, na Redditu ih još uvek ima, bar ih je bilo u trenutku kada je ESET-ov istraživač Lukas Stefanko objavio analizu malvera FileCoder.

Programeri FileCodera koriste dva servera za distribuciju ransomwarea, a malver je linkom povezan sa SMS porukama poslatim svima sa liste kontakata žrtava ali i sa postovima na Redditu i XDA.

Korisnici mogu da koriste QR kodove da bi ubrzali preuzimanje APK i instalaciju.

Kao mamac da ubede potencijalne žrtve da instaliraju zaražene Android aplikacije, distributeri FileCodera u SMS porukama tvrde da aplikacija koju treba da preuzmu navodno ima fotografije potencijalne žrtve i da bi ona to trebalo da vidi.

Postovi na forumu Reddit i XDA reklamiraju zlonamernu aplikaciju kao besplatnu igru - seks simulator.

Malver traži dozvole, između ostalog, za pristup eksternoj memoriji, čitanje kontakata, slanje SMS poruka i prustup internetu.

Ransomware koristi šablone za poruke na 42 jezika. Pre slanja poruka bira verziju koja odgovara jezičkom podešavanju uređaja žrtve.

FileCoder od žrtava traži otkupninu koju treba platiti Bitocinima, pri čemu se Bitcoin adrese i server za komandu i kontrolu (C2) nalaze u kodu malvera, ali postoji mogućnost da se nove adrese šalju preko Pastebina.

FileCoder će se proširiti preko SMS poruka koje se šalju kontaktima žrtve koje malver pronalazi na telefonu, pre nego što počne da šifruje fajlove na uređaju kojima može da pristupi. Svakom šifrovanom fajlu, malver dodaje ekstenziju .seven. Sistemski fajlovi će biti preskočeni.

Ransomware takođe preskače fajlove ako imaju ekstenzije .zip ili .rar i ako je veličina fajla veća od 51.200 KB/50 MB, i fajlove .jpeg, .jpg i .png, sa veličinom manjom od 150 KB.

Malver šifruje čudnu kombinaciju fajlova, kao i čudnu kombinaciju nepovezanih tipova dokumenata, što istraživači ESET-a objašnjavaju time da je lista preuzeta od WannaCryptor ili WannaCry ransomwarea.

Kada FileCoder završi sa šifrovanjem, prikazaće se poruka o otkupnini, u kojoj se navodi tačan broj šifrovanih fajlova, ali i koliko vremena žrtva ima da plati za ključ za dešifrovanje. Iznosi otkupnine se kreću od 94 do188 dolara.

Iako se u poruci tvrdi da će podaci biti zauvek izgubljeni ako žrtva ne plati u roku od tri dana, nema ničeg u kodu ransomwarea što govori u prilog tvrdnji da će se to desiti.

Za razliku od većine ransomwarea za Android, FileCoder ne zaključava ekran i omogućava žrtvama da nastave da koriste svoje uređaje, jer kriminalci očigledno računaju na to da će žrtve želeti da njihovi fajlovi budu što pre vraćeni.

FileCoder šifruje fajlove koristeći nove AES ključeve za svaki fajl koji zaključava. Malver koristi par javnih i privatnih ključeva, pri čemu se ovi drugi šifruju RSA algoritmom.

Međutim, budući da su programeri ransomwarea hardkodovali vrednost koja se koristi za šifrovanje privatnog ključa u kodu ransomwarea, žrtve bi mogle da dešifruju svoje podatke bez plaćanja otkupnine.

Na stranici za verifikaciju plaćanja je email adresa za podršku za one koji zatraže pomoć ako naiđu na neki problem: "Ako imate bilo kakva pitanja, kontaktirajte nas. Naša email adresa je: h3athledger[@]yandex.ru".