Οι ερευνητές της ESET ανακάλυψαν μια νέα οικογένεια ransomware που επιτίθενται σε Android, την Android / Filecoder.C, που χρησιμοποιεί τη λίστα επαφών των θυμάτων και προσπαθεί να εξαπλωθεί περαιτέρω μέσω SMS με κακόβουλους συνδέσμους.
Το νέο αυτό ransomware εξαπλώνεται στο Reddit μέσα από θέματα με πορνογραφικό περιεχόμενο. Η ESET έχει αναφέρει το κακόβουλο προφίλ που χρησιμοποιήθηκε στην εκστρατεία εξάπλωσης του ransomware, ωστόσο εξακολουθεί να είναι ενεργό. Για ένα σύντομο χρονικό διάστημα, η εκστρατεία είχε επίσης τρέξει στο «XDA developers», ένα φόρουμ για προγραμματιστές Android. Σύμφωνα με την έκθεση της ESET, οι κυβερνοεγκληματίες που χειρίζονται το ransomware, έχουν αφαιρέσει τις κακόβουλες αναρτήσεις.
Το Android/ Filecoder.C χρησιμοποιεί ενδιαφέροντες μηχανισμούς εξάπλωσης. Πριν ξεκινήσει την κρυπτογράφηση αρχείων, στέλνονται πολλά μηνύματα κειμένου σε κάθε διεύθυνση στη λίστα επαφών του θύματος, ωθώντας τους παραλήπτες να κάνουν κλικ σε έναν κακόβουλο σύνδεσμο ο οποίος οδηγεί στο αρχείο για την εγκατάσταση του ransomware. «Θεωρητικά μπορεί να προκύψουν άπειρες μολύνσεις, καθώς μάλιστα το κακόβουλο αυτό μήνυμα είναι διαθέσιμο σε 42 γλώσσες. Ευτυχώς, ακόμη και οι χρήστες που είναι λιγότερο υποψιασμένοι μπορούν να καταλάβουν ότι τα μηνύματα δεν είναι σωστά μεταφρασμένα και σε ορισμένες γλώσσες δεν φαίνεται να βγάζουν νόημα», σχολιάζει ο Lukáš Štefanko, επικεφαλής της έρευνας.
Εκτός από τον μη παραδοσιακό μηχανισμό εξάπλωσής του, το Android/ Filecoder.C έχει μερικές ανωμαλίες στην κρυπτογράφηση του. Εξαιρεί μεγάλα αρχεία (πάνω από 50 MB) και μικρές εικόνες (κάτω από 150 kB), ενώ η λίστα με «τύπους αρχείων για κρυπτογράφηση» περιέχει πολλές καταχωρίσεις που δεν σχετίζονται με το Android, ενώ λείπουν μερικές από τις επεκτάσεις που είναι συνηθισμένες για Android. «Προφανώς, η λίστα έχει αντιγραφεί από το διαβόητο ransomware WannaCry», παρατηρεί ο Štefanko.
Υπάρχουν και άλλα ενδιαφέροντα στοιχεία για την ανορθόδοξη προσέγγιση που χρησιμοποίησαν οι προγραμματιστές αυτού του κακόβουλου λογισμικού. Σε αντίθεση με τα τυπικά ransomware για Android, το Android / Filecoder.C δεν εμποδίζει τον χρήστη να έχει πρόσβαση στη συσκευή κλείνοντας την οθόνη. Επιπλέον, δεν έχει οριστεί ένα συγκεκριμένο ποσό ως λύτρα. Αντίθετα, το ποσό που ζητούν οι εισβολείς σε αντάλλαγμα για την υπόσχεση της αποκρυπτογράφησης των αρχείων δημιουργείται δυναμικά χρησιμοποιώντας το UserID που έχει καθορίσει το ransomware για το συγκεκριμένο θύμα. Αυτή η διαδικασία έχει ως αποτέλεσμα το ποσό των λύτρων να είναι κάθε φορά μοναδικό, και να κυμαίνεται από 0,01-0,02 BTC.
«Το τέχνασμα με τα μοναδικά λύτρα είναι πρωτοφανές: δεν το έχουμε ξαναδεί σε κανένα ransomware που στοχεύει στο οικοσύστημα Android», λέει ο Štefanko. «Μάλλον στόχος είναι να ταυτοποιούνται οι πληρωμές ανά θύμα, κάτι που συνήθως επιλύεται δημιουργώντας ένα μοναδικό πορτοφόλι Bitcoin για κάθε κρυπτογραφημένη συσκευή. Σε αυτήν την καμπάνια, εντοπίσαμε να χρησιμοποιείται μόνο ένα πορτοφόλι Bitcoin».
Σύμφωνα με τον Lukáš Štefanko, οι χρήστες με συσκευές που προστατεύονται από το ESET Mobile Security δεν κινδυνεύουν από αυτήν την απειλή. «Λαμβάνουν ειδοποίηση σχετικά με τον κακόβουλο σύνδεσμο. Ακόμη κι αν αγνοήσουν την προειδοποίηση και κατεβάσουν την εφαρμογή, η λύση ασφαλείας θα την μπλοκάρει».