Lukas Stefanko, analityk zagrożeń w ESET, odkrył groźny ransomware o nazwie Android/Filecoder.C. Oprogramowanie szyfruje telefony ofiar, żądając opłacenia okupu za ich odblokowanie. Wirus kryje się w linkach i QR kodach publikowanych na forach i w komentarzach pod postami zawierającymi treści pornograficzne zamieszczonych w popularnym serwisie Reddit oraz na forum dla programistów XDA Developers. Podstępnie wykorzystuje listę kontaktów w telefonie, by wysyłać znajomym wiadomości SMS zawierające linki do pobrania wirusa i zainfekowania ich urządzeń mobilnych.
Jak wskazuje ekspert z ESET, po raz pierwszy od dwóch lat pojawiła się nowa rodzina oprogramowania ransomware, rozpoznawanego jako Android/Filecoder.C, które szyfruje telefony z Androidem, uniemożliwiając dostęp do zasobów.
Złośliwy wirus jest aktywny co najmniej od 12 lipca br. Po kliknięciu w link zamieszczany na forach i w komentarzach, złośliwe oprogramowanie instalowane jest w systemie, po czym wykrywa język ustawiony na urządzeniu ofiary. Następnie wysyła wiadomości SMS do wszystkich kontaktów znajdujących się w jej telefonie, używając wybranego języka i sugerując, że zdjęcia odbiorcy mogły zostać wykorzystane w nieodpowiedni sposób w aplikacji zawierającej treści pornograficzne. Po wejściu w link przez znajomego, aplikacja pobierana jest na telefon ofiary. Kolejno szyfruje pliki użytkownika.
Jak zauważa Stefanko, ransomware wymusza na ofiarach niekonwencjonalną wartość okupu. Mianowicie, kwota za odszyfrowanie danych nie jest stała jak w przypadku „standardowych” mechanizmów, a zmienia się dynamicznie. Jej ostateczna wartość (przedział od 0,01-0,02 BTC) uzależniona jest od unikatowego ID (identyfikatora) ofiary.
Android/Filecoder.C nie szyfruje dużych archiwów (powyżej 50 MB), jak i małych obrazów (poniżej 150 KB). Ponadto, omija pliki posiadające typowe rozszerzenia dla telefonów z systemem Android takie jak .apk czy .dex. Najwyraźniej, lista rozszerzeń plików szyfrowanych została skopiowana z zagrożenia WannaCry atakującego systemy Windows.
– uzupełnia Lukas Stefanko.
Ekspert zauważył, że sam mechanizm szyfrowania danych przez oprogramowanie posiada pewne luki i możliwe jest odszyfrowanie plików bez opłacania okupu, ale jeśli twórcy oprogramowania ransomware naprawią błędy i poszerzą obszar ataków, Android/Filecoder.C może stać się poważnym zagrożeniem.
Jak zabezpieczyć się przed ransomware?
Najnowsze odkrycie pokazuje, że oprogramowanie ransomware nadal stanowi zagrożenie dla urządzeń mobilnych z Androidem. Aby zachować ostrożność, użytkownicy powinni trzymać się podstawowych zasad bezpieczeństwa:
- Zadbaj, by Twój telefon miał włączone automatyczne aktualizacje oprogramowania oraz posiadanych aplikacji.
- Przed zainstalowaniem dowolnej aplikacji sprawdź jej oceny i recenzje. Skup się na negatywnych, ponieważ często pochodzą od prawdziwych użytkowników, a pozytywne opinie są często tworzone przez atakujących.
- Zwróć uwagę na uprawnienia, jakich wymaga instalowana aplikacja. Jeśli wydają się nieodpowiednie dla funkcji aplikacji, unikaj jej pobierania.
- Użyj renomowanego mobilnego oprogramowania antywirusowego, aby chronić swoje urządzenie.
