Ny Ransomware utnytter enkle SMS-meldinger på Google Android OS og sprer seg deretter aggressivt til lagrede kontakter ved hjelp av Victims Photo

En ny ransomware for mobile enheter har dukket opp online. Det muterende og utviklende digitale viruset retter seg mot smarttelefoner som kjører Googles Android-operativsystem. Den skadelige programvaren prøver å få tilgang gjennom enkle, men smart forkledde SMS-meldinger, og graver seg deretter dypt inne i mobiltelefonens interne system. Foruten å ha kritisk og sensitiv gisler, prøver den nye ormen aggressivt å spre seg til andre ofre gjennom den kompromitterte smarttelefonens kommunikasjonsplattformer. Den nye familien av ransomware markerer en viktig men angående milepæl i Googles Android OS som i økende grad ble ansett som relativt trygt mot målrettede cyberangrep.

Cybersikkerhetsfagfolk som jobber for den populære antivirus-, brannmur- og andre digitale beskyttelsesverktøyutvikleren ESET, oppdaget en ny familie av ransomware designet for å angripe Googles Android-mobile operativsystem. Den digitale trojanske hesten bruker SMS-meldinger for å spre, bemerket forskerne. ESET-forskere har kalt den nye skadelige programvaren som Android / Filecoder.C, og har observert økt aktivitet av den samme. Ransomware ser forøvrig ut til å være ganske ny, men den øremerker slutten på en to års nedgang i nye Android-malwareoppdagelser. Enkelt sagt, det ser ut til at hackere ser ut til å ha fornyet interesse for å målrette smarttelefonoperativsystemer. Akkurat i dag rapporterte vi om flere "Zero Interaction" sikkerhetsproblemer som ble oppdaget i Apple iPhone iOS-operativsystemet.

Filecoder Aktiv siden juli 2019, men spres raskt og aggressivt gjennom smart sosial ingeniørfag

I følge det slovakiske antivirus- og cybersecurity-selskapet har Filecoder blitt observert i naturen veldig nylig. ESET-forskere hevder at de la merke til ransomware spredt seg aktivt siden 12. juli 2019. Enkelt sagt, malware ser ut til å ha dukket opp for mindre enn en måned siden, men innvirkningen kan øke hver dag.

Viruset er spesielt interessant fordi angrep på Googles Android-operativsystem har gått stadig ned i omtrent to år. Dette genererte en generell oppfatning om at Android for det meste var immun mot virus eller at hackere ikke spesifikt gikk etter smarttelefoner, og i stedet målrettet mot stasjonære datamaskiner eller annen maskinvare og elektronikk. Smarttelefoner er ganske personlige enheter, og de kan derfor betraktes som begrensede potensielle mål sammenlignet med enheter som brukes i selskaper og organisasjoner. Å målrette PC-er eller elektroniske enheter i så store innstillinger har flere potensielle fordeler, da en kompromittert maskin kan tilby en rask måte å kompromittere flere andre enheter på. Da gjelder det å analysere informasjon for å plukke ut sensitiv informasjon. For øvrig ser det ut til at flere hackinggrupper har dreid til å gjennomføre spionasjeangrep i stor skala.

Den nye løsepengeprogrammet prøver derimot bare å begrense eieren av Android-smarttelefonen fra å få tilgang til personlig informasjon. Det er ingen indikasjoner på at skadelig programvare prøver å lekke eller stjele personlig eller sensitiv informasjon eller installere andre nyttelaster som nøkkelloggere eller aktivitetssporere for å prøve å få tilgang til økonomisk informasjon.

Hvordan spres Filecoder Ransomware på Googles Android-operativsystem?

Forskere har oppdaget at Filecoder ransomware sprer seg gjennom Android-meldinger eller SMS-system, men opprinnelsesstedet er et annet sted. Viruset ser ut til å lanseres gjennom ondsinnede innlegg i online-fora, inkludert Reddit og Android Developer Messaging Board XDA Developers. Etter at ESET påpekte de ondsinnede innleggene, tok XDA Developers raskt til og tok ned de mistenkte mediene, men det tvilsomme innholdet var fremdeles oppe på tidspunktet for publisering på Reddit.

De fleste ondsinnede innlegg og kommentarer funnet av ESET prøver å lokke ofre til å laste ned skadelig programvare. Viruset trekker inn offeret ved å etterligne innholdet som vanligvis er assosiert med pornografisk materiale. I noen tilfeller observerte forskerne også noen tekniske emner som ble brukt som agn. I de fleste tilfeller inkluderte angriperne imidlertid lenker eller QR-koder som pekte på de ondsinnede appene.

For å unngå øyeblikkelig oppdagelse før tilgang til dem, er malwareens lenker maskert som bit.ly-lenker. Flere slike lenker har blitt brukt til å forkorte intetanende internettbrukere til ondsinnede nettsteder, gjennomføre nettfisking og andre nettangrep.

Når Filecoder-løseprogrammet har plantet seg godt inn i offerets Android-mobile enhet, begynner det ikke umiddelbart å låse brukerens informasjon. I stedet raser malware først Android-systemets kontakter. Forskere observerte noe interessant, men urovekkende aggressiv oppførsel av Filecoder ransomware. I hovedsak siver skadelig programvare raskt, men grundig gjennom offerets kontaktliste for å spre seg.

Skadelig programvare prøver å sende en nøye formulert automatisk generert tekstmelding til hver oppføring i Android-mobilenhetens kontaktliste. For å øke sjansene for at potensielle ofre klikker og laster ned ransomware, bruker Filecoder-viruset et interessant triks. Koblingen i den smittede tekstmeldingen annonseres som en app. Enda viktigere, malware sørger for at meldingen inneholder profilbildet til det potensielle offeret. Dessuten er bildet nøye plassert slik at det passer inn i en app offeret allerede bruker. I virkeligheten er det en ondsinnet falsk app som inneholder løsepenger.

Enda mer bekymringsfullt er det faktum at Filecoder ransomware er kodet for å være flerspråklig. Med andre ord, avhengig av språkinnstillingen til den infiserte enheten, kan meldingene sendes i en av 42 mulige språkversjoner. Malware setter også inn kontaktens navn i meldingen automatisk, for å øke opplevd ekthet.

Hvordan smitter og fungerer Filecoder Ransomware?

Koblingene som skadelig programvare har generert, inneholder vanligvis en app som prøver å lokke ofre. Den virkelige hensikten med den falske appen kjører diskret i bakgrunnen. Denne appen inneholder hardkodede kommando-og-kontroll-innstillinger (C2), samt Bitcoin-lommebokadresser, innenfor kildekoden. Angriperne har også brukt den populære online delingsplattformen Pastebin, men den fungerer bare som en kanal for dynamisk gjenfinning og muligens videre infeksjonspunkter.

Etter at Filecoder ransomware har sendt den smittede SMSen i grupper og fullført oppgaven, skanner den deretter den infiserte enheten for å finne alle lagringsfiler og krypterer flertallet av dem. ESET-forskere har oppdaget at skadelig programvare vil kryptere alle typer filutvidelser som ofte brukes til tekstfiler, bilder, videoer osv. Men av en eller annen grunn etterlater det Android-spesifikke filer som .apk eller .dex. Skadelig programvare berører heller ikke komprimerte .Zip- og .RAR-filer og filer som er over 50 MB. Forskerne mistenker at malware-skaperne kan ha gjort en dårlig kopi-lim-jobb for å løfte innhold fra WannaCry, en langt mer alvorlig og produktiv form for løsepenger. Alle de krypterte filene er lagt til med utvidelsen “.seven”

Etter vellykket kryptering av filene på Android-mobilenheten, blinker løsepenger en typisk løsepenger som inneholder krav. Forskere har lagt merke til at Filecoder ransomware stiller krav fra omtrent $ 98 til $ 188 i kryptovaluta. For å skape en følelse av haster har skadelig programvare også en enkel tidtaker som varer i omtrent 3 dager eller 72 timer. Løsepengernotatet nevner også hvor mange filer det holder som gisler.

Interessant, ransomware låser ikke enhetsskjermen eller forhindrer at en smarttelefon blir brukt. Med andre ord kan ofre fortsatt bruke sin Android-smarttelefon, men vil ikke ha tilgang til dataene sine. Dessuten, selv om ofrene på en eller annen måte avinstallerer den ondsinnede eller mistenkte appen, angrer den ikke endringene eller dekrypterer filene. Filecoder genererer et offentlig og privat nøkkelpar når du krypterer innholdet på en enhet. Den offentlige nøkkelen er kryptert med en kraftig RSA-1024-algoritme og en hardkodet verdi som sendes til skaperne. Etter at offeret har betalt gjennom de oppgitte Bitcoin-detaljene, kan angriperen dekryptere den private nøkkelen og frigjøre den til offeret.

Filecoder ikke bare aggressiv, men også kompleks for å komme seg unna:

ESET-forskere hadde tidligere rapportert at hardkodet nøkkelverdi kunne brukes til å dekryptere filer uten å betale utpressingsavgiften ved å "endre krypteringsalgoritmen til en dekrypteringsalgoritme." Kort fortalt, følte forskerne at skaperne av Filecoder-ransomware utilsiktet hadde etterlatt seg en ganske enkel metode for å lage en dekrypteringsprogram.

“På grunn av smal målretting og mangler i både gjennomføring av kampanjen og implementering av kryptering, er virkningen av denne nye ransomware begrenset. Imidlertid, hvis utviklerne fikser feilene og operatørene begynner å målrette mot bredere brukergrupper, kan Android / Filecoder.C-ransomware bli en alvorlig trussel. "

Forskerne har oppdatert sitt innlegg om Filecoder ransomware og avklart at "denne" hardkodede nøkkelen "er en RSA-1024 offentlig nøkkel, som ikke lett kan brytes, og det er derfor umulig å lage en dekrypteringsprogram for denne spesielle ransomware."

Merkelig nok observerte forskerne at det ikke er noe i ransomware-koden som støtter påstanden om at de berørte dataene vil gå tapt etter nedtellingstimeren. Dessuten ser det ut til at skaperne av malware leker med løsepenger. Mens 0,01 Bitcoin eller BTC forblir standard, ser det ut til at de påfølgende tallene er bruker-ID generert av skadelig programvare. Forskere mistenker at denne metoden kan tjene som en autentiseringsfaktor for å matche innkommende betalinger med offeret for å generere og sende dekrypteringsnøkkelen.