Os pesquisadores dela ESET descobriu uma nova família de ataques de ransomware Android, a Android / Filecoder.C, que usa a lista de contatos das vítimas e tenta se espalhar ainda mais por SMS com links maliciosos.
Τeste novo ransomware está se espalhando no Reddit por meio de conteúdo pornográfico. A ESET relatou o perfil malicioso usado na campanha de disseminação de ransomware, mas ainda está ativo. Por um curto período, a campanha também foi veiculada em "desenvolvedores XDA", um fórum para desenvolvedores Android. De acordo com o relatório da ESET, os cibercriminosos que operam ransomware removeram as postagens maliciosas.
Android / Filecoder.C usa planilhas interessantes. Antes do início da criptografia do arquivo, várias mensagens de texto são enviadas para cada endereço na lista de contatos da vítima, solicitando aos destinatários que cliquem em um link malicioso que leva ao arquivo de instalação do ransomware. “Teoricamente, podem ocorrer infindáveis infecções, visto que esta mensagem maliciosa está disponível em 42 idiomas. Felizmente, mesmo os usuários menos suspeitos podem entender que as mensagens não estão traduzidas corretamente e em alguns idiomas não parecem fazer sentido ", disse Lukáš Štefanko, chefe de pesquisa.
Além de seu mecanismo de implantação não tradicional, Android / Filecoder.C tem algumas anomalias em sua criptografia. Exclui arquivos grandes (acima de 50 MB) e imagens pequenas (abaixo de 150 kB), enquanto a lista de "tipos de arquivo para criptografia" contém muitas entradas que não estão relacionadas ao Android, enquanto algumas das extensões comuns para Android estão ausentes. "Obviamente, a lista foi copiada do infame ransomware WannaCry", observa Štefanko.
Existem outros fatos interessantes sobre a abordagem pouco ortodoxa usada pelos desenvolvedores desse malware. Ao contrário do ransomware padrão para Android, Android / Filecoder.C não impede que o usuário acesse o dispositivo fechando a tela. Além disso, nenhum valor específico foi definido como resgate. Em vez disso, a quantidade que os invasores pedem em troca da promessa de descriptografar os arquivos é gerada dinamicamente usando a ID do usuário que o ransomware especificou para a vítima. Este processo resulta no valor do resgate sendo único a cada vez, variando de 0,01 a 0,02 BTC.
«O truque com o resgate exclusivo é sem precedentes: nunca o vimos em nenhum ransomware direcionado ao ecossistema Android", Diz ftefanko. «Em vez disso, o objetivo é identificar os pagamentos por vítima, o que geralmente é resolvido com a criação de uma carteira Bitcoin exclusiva para cada dispositivo criptografado. Nesta campanha, detectamos que apenas uma carteira Bitcoin foi usada".
De acordo com Lukáš ftefanko, os usuários com dispositivos protegidos pelo ESET Mobile Security não correm risco com essa ameaça. «Eles recebem notificações sobre links maliciosos. Mesmo que eles ignorem o aviso e baixem o aplicativo, a solução de segurança irá bloqueá-lo".
[id do_grupo_ad = ”966 ″]ΜNão se esqueça de aderir (registar-se) no nosso fórum, o que pode ser feito facilmente através do seguinte botão…
(Se você já possui uma conta em nosso fórum, não precisa seguir o link de registro)
Siga-nos no Telegram!
