Nový ransomvér využíva jednoduché správy SMS v systéme Google Android OS a potom sa agresívne šíri k uloženým kontaktom pomocou fotografie obete

Novinky
Android / Nový ransomvér využíva jednoduché správy SMS v systéme Google Android OS a potom sa agresívne šíri k uloženým kontaktom pomocou fotografie obete 6 minút prečítania

Google Android



Online sa objavil nový ransomvér pre mobilné zariadenia. Mutačný a vyvíjajúci sa digitálny vírus sa zameriava na smartfóny s operačným systémom Android od spoločnosti Google. Malvér sa pokúša získať prístup prostredníctvom jednoduchej, ale šikovne maskovanej SMS správy, a potom sa prehĺbi vo vnútornom systéme mobilného telefónu. Okrem zadržiavania kritického a citlivého rukojemníka sa nový červ agresívne pokúša rozšíriť medzi ďalšie obete prostredníctvom komunikačných platforiem napadnutého smartfónu. Nová rodina ransomvéru predstavuje dôležitý, ale medzník v operačnom systéme Android spoločnosti Google, ktorý sa čoraz viac považuje za relatívne bezpečný pred cielenými kybernetickými útokmi.

Profesionáli v oblasti kybernetickej bezpečnosti, ktorí pracujú pre populárneho vývojára antivírusových programov, brán firewall a ďalších nástrojov pre digitálnu ochranu ESET, objavili novú rodinu ransomvéru určeného na útok na mobilný operačný systém Android spoločnosti Google. Vedci tvrdia, že digitálny trójsky kôň využíva na šírenie správy SMS. Vedci z ESET-u pomenovali nový malware ako Android / Filecoder.C a zaznamenali zvýšenú aktivitu rovnakého druhu. Mimochodom, ransomvér sa javí ako úplne nový, ale predznamenáva koniec dvojročného poklesu nových detekcií škodlivého softvéru pre Android. Zjednodušene sa zdá, že sa zdá, že hackeri majú obnovený záujem o zacielenie na operačné systémy pre smartphony. Práve dnes sme informovali o viacerých Zraniteľnosti zabezpečenia „Zero Interaction“, ktoré boli objavené v operačnom systéme Apple iPhone iOS .



Filecoder aktívny od júla 2019, ale šíri sa rýchlo a agresívne prostredníctvom chytrého sociálneho inžinierstva

Podľa slovenskej antivírusovej a kybernetickej bezpečnosti bol Filecoder vo voľnej prírode pozorovaný veľmi nedávno. Vedci z spoločnosti ESET tvrdia, že si všimli, že sa ransomvér šíri aktívne od 12. júla 2019. Jednoducho povedané, zdá sa, že malware sa objavil pred necelým mesiacom, ale jeho dopad by sa mohol každý deň zvyšovať.



Vírus je obzvlášť zaujímavý, pretože útoky na operačný systém Android spoločnosti Google ustupujú približne dva roky. To vyvolalo všeobecné presvedčenie, že Android je väčšinou imúnny voči vírusom alebo že hackeri konkrétne nechodia po smartfónoch, ale skôr sa zameriavajú na stolné počítače alebo iný hardvér a elektroniku. Smartfóny sú celkom osobné zariadenia, a preto by sa dali považovať za obmedzené potenciálne ciele v porovnaní so zariadeniami používanými v spoločnostiach a organizáciách. Zacielenie na PC alebo elektronické zariadenia v tak veľkých nastaveniach má niekoľko potenciálnych výhod, pretože narušený stroj môže ponúknuť rýchly spôsob ohrozenia niekoľkých ďalších zariadení. Potom je potrebné analyzovať informácie, aby ste vybrali citlivé informácie. Mimochodom, zdá sa, že existuje niekoľko hackerských skupín zameraná na vedenie špionážnych útokov veľkého rozsahu .



Nový ransomvér sa na druhej strane iba snaží obmedziť vlastníka smartfónu so systémom Android v prístupe k osobným informáciám. Nič nenasvedčuje tomu, že sa malvér snaží uniknúť alebo ukradnúť osobné alebo citlivé informácie alebo nainštalovať ďalšie užitočné súbory, ako sú keyloggery alebo sledovače aktivít, aby sa pokúsili získať prístup k finančným informáciám.



Ako sa šíri ransomvér Filecoder v operačnom systéme Google Android?

Vedci zistili, že ransomvér Filecoder sa šíri prostredníctvom systému Android na zasielanie správ alebo SMS, ale jeho pôvod je inde. Zdá sa, že vírus sa spúšťa prostredníctvom škodlivých príspevkov na online fórach, vrátane serverov Reddit a vývojových správ pre Android pre vývojárov XDA. Po tom, čo ESET upozornil na škodlivé príspevky, vývojári z XDA podnikli rýchle kroky a stiahli podozrivé médiá, avšak otázny obsah bol v čase zverejnenia na Reddite stále hore.

Väčšina škodlivých príspevkov a komentárov nájdených spoločnosťou ESET sa pokúša nalákať obete na stiahnutie škodlivého softvéru. Vírus vtiahne obeť napodobňovaním obsahu, ktorý je zvyčajne spojený s pornografickým materiálom. V niektorých prípadoch vedci tiež pozorovali, že niektoré technické témy sa používajú ako návnady. Vo väčšine prípadov však útočníci zahrnuli odkazy alebo QR kódy ukazujúce na škodlivé aplikácie.

Aby sa zabránilo okamžitému odhaleniu pred prístupom, odkazy na malvér sú maskované ako odkazy bit.ly. Niekoľko takýchto stránok na skrátenie odkazov sa v minulosti používalo na nasmerovanie nič netušiacich používateľov internetu na škodlivé webové stránky, uskutočňovanie phishingu a iných kybernetických útokov.

Akonáhle sa ransomvér Filecoder pevne zabuduje do mobilného zariadenia Android obete, nezačne okamžite uzamknúť informácie používateľa. Malvér namiesto toho najskôr prepadne kontakty systému Android. Vedci pozorovali zaujímavé, ale znepokojivo agresívne správanie ransomvéru Filecoder. Malvér v podstate rýchlo, ale dôkladne preosieva zoznam kontaktov obete, aby sa mohol šíriť ďalej.

Malvér sa pokúša odoslať starostlivo formulovanú automaticky generovanú textovú správu ku každej položke v zozname kontaktov mobilného zariadenia Android. Na zvýšenie šance potenciálnych obetí na kliknutie a stiahnutie ransomvéru zavádza vírus Filecoder zaujímavý trik. Odkaz obsiahnutý v poškvrnenej textovej správe je inzerovaný ako aplikácia. Dôležitejšie je, že malware zaisťuje, že správa obsahuje profilovú fotografiu potenciálnej obete. Fotografia je navyše starostlivo umiestnená tak, aby sa zmestila do aplikácie, ktorú už obeť používa. V skutočnosti ide o škodlivú falošnú aplikáciu obsahujúcu ransomvér.

Ešte znepokojujúcejšia je skutočnosť, že ransomvér Filecoder je kódovaný ako viacjazyčný. Inými slovami, v závislosti od jazykového nastavenia infikovaného zariadenia je možné správy odosielať v jednej zo 42 možných jazykových verzií. Malvér tiež automaticky vloží meno kontaktu do správy, aby sa zvýšila vnímaná autenticita.

Ako infikuje a funguje ransomvér Filecoder?

Odkazy, ktoré malvér generoval, zvyčajne obsahujú aplikáciu, ktorá sa pokúša nalákať obete. Skutočným účelom falošnej aplikácie je diskrétne spustenie na pozadí. Táto aplikácia obsahuje pevne zakódované nastavenia príkazu a riadenia (C2) a adresy bitcoinovej peňaženky v rámci svojho zdrojového kódu. Útočníci tiež použili populárnu online platformu na zdieľanie poznámok Pastebin, ktorá však slúži iba ako pomôcka na dynamické načítanie a prípadne ďalšie infekčné body.

Po tom, čo ransomvér Filecoder úspešne pošle hromadne poškvrnenú SMS správu a dokončí úlohu, potom prehľadá infikované zariadenie, aby našiel všetky úložné súbory, a väčšinu z nich zašifruje. Vedci z ESET-u zistili, že malware šifruje všetky typy prípon súborov, ktoré sa bežne používajú pre textové súbory, obrázky, videá atď. Z nejakého dôvodu však ponecháva súbory špecifické pre Android, ako sú .apk alebo .dex. Malvér sa tiež nedotýka komprimovaných súborov .Zip a .RAR a súborov, ktoré majú viac ako 50 MB. Vedci majú podozrenie, že tvorcovia škodlivého softvéru mohli urobiť zlú prácu s kopírovaním a vkladaním a získavať obsah z WannaCry, čo je oveľa závažnejšia a plodnejšia forma ransomvéru. Všetky šifrované súbory sú pripojené s príponou „.seven“

Po úspešnom zašifrovaní súborov v mobilnom zariadení s Androidom ransomvér následne zobrazí typickú poznámku o výkupnom, ktorá obsahuje požiadavky. Vedci si všimli, že ransomvér Filecoder kladie požiadavky na kryptomenu od približne 98 do 188 dolárov. Pre zaistenie pocitu naliehavosti má malware tiež jednoduchý časovač, ktorý vydrží asi 3 dni alebo 72 hodín. Výkupné tiež uvádza, koľko súborov drží ako rukojemníkov.

Je zaujímavé, že ransomvér nezablokuje obrazovku zariadenia ani nebráni v používaní smartfónu. Inými slovami, obete môžu naďalej používať svoj smartphone so systémom Android, ale nebudú mať prístup k svojim údajom. Navyše, aj keď obete nejakým spôsobom odinštalujú škodlivú alebo podozrivú aplikáciu, nespustí to zmeny ani dešifruje súbory. Filecoder generuje pri šifrovaní obsahu zariadenia pár verejných a súkromných kľúčov. Verejný kľúč je šifrovaný pomocou výkonného algoritmu RSA-1024 a pevne zakódovanej hodnoty, ktorá sa posiela tvorcom. Keď obeť zaplatí prostredníctvom poskytnutých bitcoinových údajov, môže útočník dešifrovať súkromný kľúč a uvoľniť ho obeti.

Filecoder nielen agresívny, ale aj zložitý, aby ste sa dostali preč:

Vedci z spoločnosti ESET už skôr oznámili, že pevne zakódovanú hodnotu kľúča je možné použiť na dešifrovanie súborov bez zaplatenia poplatku za vydieranie „zmenou šifrovacieho algoritmu na dešifrovací algoritmus“. Skrátka, vedci cítili, že tvorcovia ransomvéru Filecoder nechtiac nechali za sebou dosť jednoduchú metódu na vytvorenie dešifrovania.

„Kvôli úzkemu zameraniu a chybám vo vykonávaní kampane a implementácii jej šifrovania je dopad tohto nového ransomvéru obmedzený. Ak však vývojári napravia chyby a operátori sa začnú zameriavať na širšie skupiny používateľov, ransomvér pre Android / Filecoder.C by sa mohol stať vážnou hrozbou. “

The vedci aktualizovali svoj príspevok o ransomware Filecoder a objasnil, že „tento„ pevne zakódovaný kľúč “je verejný kľúč RSA-1024, ktorý sa nedá ľahko zlomiť, a preto je vytvorenie dešifrovania pre tento konkrétny ransomvér takmer nemožné.“

Vedci podivne tiež zistili, že v kóde ransomvéru nie je nič, čo by podporovalo tvrdenie, že po skončení odpočítavacieho času dôjde k strate dotknutých údajov. Zdá sa, že tvorcovia škodlivého softvéru hrajú s výkupným navyše. Zatiaľ čo 0,01 bitcoinu alebo BTC zostáva štandardom, nasledujúce čísla sa zdajú byť ID používateľa vygenerovaným malvérom. Vedci majú podozrenie, že táto metóda by mohla slúžiť ako autentifikačný faktor na spárovanie prichádzajúcich platieb s obeťou, aby sa vytvoril a odoslal dešifrovací kľúč.

v správcovi zariadení nie sú žiadne zobrazovacie zariadenia
Značky Android