Penelitinya ESET menemukan keluarga baru serangan ransomware Android, itu Android / Filecoder.C, yang menggunakan daftar kontak korban dan mencoba menyebar lebih jauh melalui SMS dengan tautan berbahaya.
Τransomware baru ini menyebar di Reddit melalui konten pornografi. ESET telah melaporkan profil jahat yang digunakan dalam kampanye penyebaran ransomware, tetapi profil tersebut masih aktif. Untuk waktu yang singkat, kampanye juga berjalan di "pengembang XDA", sebuah forum untuk pengembang Android. Menurut laporan ESET, penjahat dunia maya yang mengoperasikan ransomware telah menghapus posting jahat.
Android / Filecoder.C menggunakan spreadsheet yang menarik. Sebelum enkripsi file dimulai, beberapa pesan teks dikirim ke setiap alamat di daftar kontak korban, mendorong penerima untuk mengklik tautan berbahaya yang mengarah ke file instalasi ransomware. "Secara teoritis, infeksi tanpa akhir dapat terjadi, karena pesan berbahaya ini tersedia dalam 42 bahasa. Untungnya, bahkan pengguna yang kurang curiga dapat memahami bahwa pesan tidak diterjemahkan dengan benar dan dalam beberapa bahasa tampaknya tidak masuk akal, "kata Lukáš tefanko, kepala penelitian.
Selain mekanisme spreadsheet non-tradisionalnya, Android / Filecoder.C memiliki beberapa anomali dalam enkripsinya. Tidak termasuk file besar (lebih dari 50 MB) dan gambar kecil (di bawah 150 kB), sedangkan daftar "jenis file untuk enkripsi" berisi banyak entri yang tidak terkait dengan Android, sementara beberapa ekstensi yang umum untuk Android tidak ada . "Jelas, daftar tersebut telah disalin dari ransomware WannaCry yang terkenal," catat tefanko.
Ada fakta menarik lainnya tentang pendekatan ortodoks yang digunakan oleh para pengembang malware ini. Tidak seperti ransomware standar untuk Android, Android / Filecoder.C tidak mencegah pengguna mengakses perangkat dengan menutup layar. Selain itu, tidak ada jumlah tertentu yang ditetapkan sebagai tebusan. Sebaliknya, jumlah yang diminta penyerang sebagai imbalan atas janji mendekripsi file dihasilkan secara dinamis menggunakan UserID yang telah ditentukan ransomware untuk korban tersebut. Proses ini menghasilkan jumlah tebusan yang unik setiap kali, mulai dari 0,01-0,02 BTC.
«Trik dengan tebusan unik belum pernah terjadi sebelumnya: kami belum pernah melihatnya di ransomware yang menargetkan ekosistem Android", kata ftefanko. «Sebaliknya, tujuannya adalah untuk mengidentifikasi pembayaran per korban, yang biasanya diselesaikan dengan membuat dompet Bitcoin unik untuk setiap perangkat terenkripsi. Dalam kampanye ini, kami mendeteksi bahwa hanya satu dompet Bitcoin yang digunakan'.
Menurut Lukáš ftefanko, pengguna perangkat yang dilindungi oleh ESET Mobile Security tidak berisiko dari ancaman ini. «Mereka menerima pemberitahuan tentang tautan berbahaya. Bahkan jika mereka mengabaikan peringatan dan mengunduh aplikasi, solusi keamanan akan memblokirnya'.
[the_ad_group id = ”966 ″]