Novi ransomware za Android koristi SMS spam poruke da bi inficirao uređaje

Opisi virusa, 01.08.2019, 02:30 AM

Novi ransomware za Android koristi SMS spam poruke da bi inficirao uređaje

Novi ransomware koji inficira Android uređaje širi se slanjem SMS poruka, koje sadrže maliciozne linkove, svima sa liste kontakata koja se nalazi na već zaraženom uređaju.

Malver koji su istraživači kompanije ESET nazvali Android/Filecoder.C (FileCoder) trenutno inficira uređaje sa Android 5.1 ili novijim verzijama.

Kada ransomware pošalje ovakve SMS poruke, on šifruje većinu korisničkih fajlova na uređaju i traži otkupninu. Zbog loše enkripcije moguće je dešifrovati šifrovane fajlove bez ikakve pomoći napadača, kažu istraživači.

Međutim, ako programeri ransomwarea uspeju da poprave malver, veliki broj korisnika Androida mogao bi biti ugrožen zbog vrlo opasnog i potencijalno vrlo destruktivnog malvera.

FileCoder se širi od 12. jula. Napadači su distribuirali malver preko postova objavljenih na Redditu i foruma XDA Developers.

Dok su postovi sa XDA uklonjeni posle intervencije ESET-a, na Redditu ih još uvek ima, bar ih je bilo u trenutku kada je ESET-ov istraživač Lukas Stefanko objavio analizu malvera FileCoder.

Programeri FileCodera koriste dva servera za distribuciju ransomwarea, a malver je linkom povezan sa SMS porukama poslatim svima sa liste kontakata žrtava ali i sa postovima na Redditu i XDA.

Korisnici mogu da koriste QR kodove da bi ubrzali preuzimanje APK i instalaciju.

Kao mamac da ubede potencijalne žrtve da instaliraju zaražene Android aplikacije, distributeri FileCodera u SMS porukama tvrde da aplikacija koju treba da preuzmu navodno ima fotografije potencijalne žrtve i da bi ona to trebalo da vidi.

Postovi na forumu Reddit i XDA reklamiraju zlonamernu aplikaciju kao besplatnu igru - seks simulator.

Malver traži dozvole, između ostalog, za pristup eksternoj memoriji, čitanje kontakata, slanje SMS poruka i prustup internetu.

Ransomware koristi šablone za poruke na 42 jezika. Pre slanja poruka bira verziju koja odgovara jezičkom podešavanju uređaja žrtve.

FileCoder od žrtava traži otkupninu koju treba platiti Bitocinima, pri čemu se Bitcoin adrese i server za komandu i kontrolu (C2) nalaze u kodu malvera, ali postoji mogućnost da se nove adrese šalju preko Pastebina.

FileCoder će se proširiti preko SMS poruka koje se šalju kontaktima žrtve koje malver pronalazi na telefonu, pre nego što počne da šifruje fajlove na uređaju kojima može da pristupi. Svakom šifrovanom fajlu, malver dodaje ekstenziju .seven. Sistemski fajlovi će biti preskočeni.

Ransomware takođe preskače fajlove ako imaju ekstenzije .zip ili .rar i ako je veličina fajla veća od 51.200 KB/50 MB, i fajlove .jpeg, .jpg i .png, sa veličinom manjom od 150 KB.

Malver šifruje čudnu kombinaciju fajlova, kao i čudnu kombinaciju nepovezanih tipova dokumenata, što istraživači ESET-a objašnjavaju time da je lista preuzeta od WannaCryptor ili WannaCry ransomwarea.

Kada FileCoder završi sa šifrovanjem, prikazaće se poruka o otkupnini, u kojoj se navodi tačan broj šifrovanih fajlova, ali i koliko vremena žrtva ima da plati za ključ za dešifrovanje. Iznosi otkupnine se kreću od 94 do188 dolara.

Iako se u poruci tvrdi da će podaci biti zauvek izgubljeni ako žrtva ne plati u roku od tri dana, nema ničeg u kodu ransomwarea što govori u prilog tvrdnji da će se to desiti.

Za razliku od većine ransomwarea za Android, FileCoder ne zaključava ekran i omogućava žrtvama da nastave da koriste svoje uređaje, jer kriminalci očigledno računaju na to da će žrtve želeti da njihovi fajlovi budu što pre vraćeni.

FileCoder šifruje fajlove koristeći nove AES ključeve za svaki fajl koji zaključava. Malver koristi par javnih i privatnih ključeva, pri čemu se ovi drugi šifruju RSA algoritmom.

Međutim, budući da su programeri ransomwarea hardkodovali vrednost koja se koristi za šifrovanje privatnog ključa u kodu ransomwarea, žrtve bi mogle da dešifruju svoje podatke bez plaćanja otkupnine.

Na stranici za verifikaciju plaćanja je email adresa za podršku za one koji zatraže pomoć ako naiđu na neki problem: "Ako imate bilo kakva pitanja, kontaktirajte nas. Naša email adresa je: h3athledger[@]yandex.ru".


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

30000 Mac računara inficirano novim malverom Silver Sparrow

30000 Mac računara inficirano novim malverom Silver Sparrow

Novi malver Silver Sparrow inficirao je 30000 Mac računara. Malver su otkrili istraživači iz firme Red Canary koji su ga analizirali zajedno sa ist... Dalje

Otkriven prvi malver koji napada isključivo Appleov novi M1 čip

Otkriven prvi malver koji napada isključivo Appleov novi M1 čip

Bivši istraživač NSA Patrik Vordl otkrio je malver koji je dizajniran za napade na računare sa Appleovim novim M1 čipom, koji se koristi na najno... Dalje

Oprez: Video snimak Trampovog ''seks skandala'' krije QRAT trojanca

Oprez: Video snimak Trampovog ''seks skandala'' krije QRAT trojanca

Istraživači kompanije Trustwave otkrili su novu spam kampanju koja distribuira trojanski program za daljinski pristup (RAT), a kao mamac koristi vid... Dalje

Opasni malver Emotet se vratio i sada dnevno stigne u sandučiće za e-poštu 100000 korisnika

Opasni malver Emotet se vratio i sada dnevno stigne u sandučiće za e-poštu 100000 korisnika

Posle zatišja od skoro dva meseca, botnet Emotet se vratio izmenjen i sa kampanjom koja dnevno pogađa 100 000 ciljeva. Emotet se pojavio 2014. godin... Dalje

Veb skimer koji krade podatke sa platnih kartica sakriven na sajtovima internet prodavnica

Veb skimer koji krade podatke sa platnih kartica sakriven na sajtovima internet prodavnica

Sezona praznične kupovine uskoro počinje, pa ne bi bilo loše imati na umu novi malver koji krade podatke sa platnih kartica, koristeći steganograf... Dalje