Lukas Stefanko, analityk zagrożeń w ESET, odkrył groźny ransomware o nazwie Android/Filecoder.C. Oprogramowanie szyfruje telefony ofiar, żądając opłacenia okupu za ich odblokowanie. Wirus kryje się w linkach i QR kodach publikowanych na forach i w komentarzach pod postami zawierającymi treści pornograficzne zamieszczonych w popularnym serwisie Reddit oraz na forum dla programistów XDA Developers. Podstępnie wykorzystuje listę kontaktów w telefonie, by wysyłać znajomym wiadomości SMS zawierające linki do pobrania wirusa i zainfekowania ich urządzeń mobilnych.

Treść wiadomości SMS wysyłanej do znajomych przez oprogramowanie ransomware
Treść wiadomości SMS wysyłanej do znajomych przez oprogramowanie ransomware.

Jak wskazuje ekspert z ESET, po raz pierwszy od dwóch lat pojawiła się nowa rodzina oprogramowania ransomware, rozpoznawanego jako Android/Filecoder.C, które szyfruje telefony z Androidem, uniemożliwiając dostęp do zasobów.

Zrzut ekranu pulpitu informującego o zaszyfrowaniu telefonu Filecoderem
Zrzut ekranu pulpitu informującego o zaszyfrowaniu telefonu Filecoderem

Złośliwy wirus jest aktywny co najmniej od 12 lipca br. Po kliknięciu w link zamieszczany na forach i w komentarzach, złośliwe oprogramowanie instalowane jest w systemie, po czym wykrywa język ustawiony na urządzeniu ofiary. Następnie wysyła wiadomości SMS do wszystkich kontaktów znajdujących się w jej telefonie, używając wybranego języka i sugerując, że zdjęcia odbiorcy mogły zostać wykorzystane w nieodpowiedni sposób w aplikacji zawierającej treści pornograficzne. Po wejściu w link przez znajomego, aplikacja pobierana jest na telefon ofiary. Kolejno szyfruje pliki użytkownika.

Post z serwisu Reddit zawierający linki kierujące do Filecodera
Post z serwisu Reddit zawierający linki kierujące do Filecodera.

Jak zauważa Stefanko, ransomware wymusza na ofiarach niekonwencjonalną wartość okupu. Mianowicie, kwota za odszyfrowanie danych nie jest stała jak w przypadku „standardowych” mechanizmów, a zmienia się dynamicznie. Jej ostateczna wartość (przedział od 0,01-0,02 BTC) uzależniona jest od unikatowego ID (identyfikatora) ofiary.

Android/Filecoder.C nie szyfruje dużych archiwów (powyżej 50 MB), jak i małych obrazów (poniżej 150 KB). Ponadto, omija pliki posiadające typowe rozszerzenia dla telefonów z systemem Android takie jak .apk czy .dex. Najwyraźniej, lista rozszerzeń plików szyfrowanych została skopiowana z zagrożenia WannaCry atakującego systemy Windows.

– uzupełnia Lukas Stefanko.

Ekspert zauważył, że sam mechanizm szyfrowania danych przez oprogramowanie posiada pewne luki i możliwe jest odszyfrowanie plików bez opłacania okupu, ale jeśli twórcy oprogramowania ransomware naprawią błędy i poszerzą obszar ataków, Android/Filecoder.C może stać się poważnym zagrożeniem.

Jak zabezpieczyć się przed ransomware?

Najnowsze odkrycie pokazuje, że oprogramowanie ransomware nadal stanowi zagrożenie dla urządzeń mobilnych z Androidem. Aby zachować ostrożność, użytkownicy powinni trzymać się podstawowych zasad bezpieczeństwa:

  • Zadbaj, by Twój telefon miał włączone automatyczne aktualizacje oprogramowania oraz posiadanych aplikacji.
  • Przed zainstalowaniem dowolnej aplikacji sprawdź jej oceny i recenzje. Skup się na negatywnych, ponieważ często pochodzą od prawdziwych użytkowników, a pozytywne opinie są często tworzone przez atakujących.
  • Zwróć uwagę na uprawnienia, jakich wymaga instalowana aplikacja. Jeśli wydają się nieodpowiednie dla funkcji aplikacji, unikaj jej pobierania.
  • Użyj renomowanego mobilnego oprogramowania antywirusowego, aby chronić swoje urządzenie.
AUTOR:

Katarzyna Pilawa

Podziel się

Dodaj komentarz