Odkryto groźny ransomware - Android/Filecoder.C

dodano: 2019-07-31 16:38
autor: Jan Borejko | źródło: ESET

Lukas Stefanko, analityk zagrożeń w ESET, odkrył groźny ransomware o nazwie Android/Filecoder.C. Oprogramowanie szyfruje smartfony ofiar, żądając opłacenia okupu za ich odblokowanie. Wirus kryje się w linkach i QR kodach publikowanych na forach i w komentarzach pod postami zawierającymi treści pornograficzne zamieszczonych w popularnym serwisie Reddit oraz na forum dla programistów - XDA Developers. Podstępnie wykorzystuje listę kontaktów w telefonie, by wysyłać znajomym wiadomości SMS zawierające linki do pobrania wirusa i zainfekowania ich urządzeń mobilnych.

Jak wskazuje ekspert z ESET, po raz pierwszy od dwóch lat pojawiła się nowa rodzina oprogramowania ransomware, rozpoznawanego jako Android/Filecoder.C, które szyfruje telefony z Androidem, uniemożliwiając dostęp do jego zasobów.

Złośliwy wirus jest aktywny co najmniej od 12 lipca br.
Po kliknięciu w link zamieszczany na forach i w komentarzach, złośliwe oprogramowanie instalowane jest w systemie, po czym wykrywa język ustawiony na urządzeniu ofiary. Następnie wysyła wiadomości SMS do wszystkich kontaktów znajdujących się w jej telefonie, używając wybranego  języka i sugerując, że zdjęcia odbiorcy mogły zostać wykorzystane w nieodpowiedni sposób w aplikacji zawierającej treści pornograficzne. Po wejściu w link przez znajomego, aplikacja pobierana jest na telefon ofiary. Kolejno szyfruje pliki użytkownika.   

Filecoder.C: nietypowy ransomware   

Jak zauważa Stefanko, ransomware wymusza na ofiarach niekonwencjonalną wartość okupu. Mianowicie, kwota za odszyfrowanie danych nie jest stała jak w przypadku „standardowych" mechanizmów tego typu zagrożeń, a zmienia się dynamicznie. Jej ostateczna wartość (przedział od 0,01-0,02 BTC) uzależniona jest od unikatowego ID (identyfikatora) ofiary.

- To nowa sztuczka. Do tej pory nie widzieliśmy takiego zastosowania w oprogramowaniu ransomware wymierzonego w telefony z systemem Android - wyjaśnia Stefanko. Nowy rodzaj ransomware nie jest pozbawiony wad.  - Android/Filecoder.C nie szyfruje dużych archiwów (powyżej 50 MB), jak i małych obrazów (poniżej 150 KB).

- Ponadto, omija pliki posiadające typowe rozszerzenia dla telefonów z systemem Android takie jak .apk czy .dex. Najwyraźniej, lista rozszerzeń plików szyfrowanych została skopiowana z zagrożenia WannaCry atakującego systemy Windows - uzupełnia Lukas Stefanko.

Ekspert z ESET zauważył, że sam mechanizm szyfrowania danych przez oprogramowanie posiada pewne luki i możliwe jest odszyfrowanie plików bez opłacania okupu.

- Jeśli twórcy oprogramowania ransomware naprawią błędy i poszerzą obszar ataków, Android/Filecoder.C może stać się poważnym zagrożeniem - ostrzega Stefanko. 

Jak zabezpieczyć się przed ransomware?

Najnowsze odkrycie badacza z ESET pokazuje, że oprogramowanie ransomware nadal stanowi zagrożenie dla urządzeń mobilnych z Androidem. Aby zachować ostrożność, użytkownicy powinni trzymać się podstawowych zasad bezpieczeństwa:      

• zadbaj, by Twój telefon miał włączone automatyczne aktualizacje oprogramowania oraz posiadanych aplikacji,
• przed zainstalowaniem dowolnej aplikacji sprawdź jej oceny i recenzje.
• skup się na negatywnych, ponieważ często pochodzą od prawdziwych użytkowników, a pozytywne opinie są często tworzone przez atakujących,  
• zwróć uwagę na uprawnienia, jakich wymaga instalowana aplikacja. Jeśli wydają się nieodpowiednie dla funkcji aplikacji, unikaj jej pobierania,  
• użyj renomowanego mobilnego oprogramowania antywirusowego, aby chronić swoje urządzenie.

Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu tylko za zgodą wydawcy.

• Cyberatak na T-Mobile dotknął około 37 mln klientów
• T-Mobile przestrzega przed oszustami
• 3 osoby aresztowano po instalacji pirackiej anteny
• ST i T-Mobile Czechy celem cyberataku na dużą skalę
• Starlink zagłuszany przez Rosjan na terenie Ukrainy

Więcej z kategorii Telkomy

HOLLEX.PL - Twój sklep internetowy