Ее исследователи ESET обнаружил новое семейство атакующих программ-вымогателей Android, то Android / Файлкодер.C, который использует список контактов жертв и пытается распространиться дальше через SMS с вредоносными ссылками.
Τэта новая программа-вымогатель распространяется на Reddit через порнографический контент. ESET сообщила о вредоносном профиле, используемом в кампании по распространению программ-вымогателей, но он все еще активен. В течение короткого времени кампания также проводилась на форуме разработчиков Android «XDA developers». Согласно отчету ESET, злоумышленники, использующие программы-вымогатели, удалили вредоносные сообщения.
Android / Filecoder.C использует интересные электронные таблицы. Перед началом шифрования файла на каждый адрес в списке контактов жертвы отправляется несколько текстовых сообщений, в которых получателям предлагается щелкнуть вредоносную ссылку, ведущую к установочному файлу вымогателя. «Теоретически может произойти бесконечное количество заражений, так как это вредоносное сообщение доступно на 42 языках. К счастью, даже наименее подозрительные пользователи могут понять, что сообщения переведены неправильно и на некоторых языках не имеют смысла », - сказал Лукаш Штефанко, руководитель отдела исследования.
Помимо нетрадиционного механизма работы с электронными таблицами, Android / Filecoder.C имеет некоторые аномалии в шифровании. Исключает большие файлы (более 50 МБ) и маленькие изображения (менее 150 КБ), а список «типов файлов для шифрования» содержит множество записей, не связанных с Android, а некоторые из расширений, общих для Android, отсутствуют. «Очевидно, список был скопирован с печально известной программы-вымогателя WannaCry», - отмечает Штефанко.
Есть и другие интересные факты о неортодоксальном подходе, который использовали разработчики этой вредоносной программы. В отличие от стандартной программы-вымогателя для Android, Android / Filecoder.C не препятствует доступу пользователя к устройству, закрыв экран. Кроме того, конкретная сумма выкупа не установлена. Вместо этого сумма, которую злоумышленники запрашивают в обмен на обещание расшифровать файлы, динамически генерируется с использованием идентификатора пользователя, который программа-вымогатель указала для этой жертвы. Этот процесс приводит к тому, что сумма выкупа каждый раз уникальна и составляет 0,01-0,02 BTC.
«Уловка с уникальным выкупом беспрецедентна: мы никогда не видели его ни в одной программе-вымогателе, нацеленной на экосистему Android.", - говорит Фтефанко. «Скорее, цель состоит в том, чтобы идентифицировать платежи для каждой жертвы, что обычно решается путем создания уникального биткойн-кошелька для каждого зашифрованного устройства. В этой кампании мы обнаружили, что использовался только один биткойн-кошелек..
По словам Лукаша фтефанко, пользователи устройств, защищенных ESET Mobile Security, не подвергаются риску от этой угрозы. «Они получают уведомление о вредоносной ссылке. Даже если они проигнорируют предупреждение и загрузят приложение, защитное решение заблокирует его..
[the_ad_group id = ”966 ″]ΜНе забудьте присоединиться (зарегистрироваться) на нашем форуме, что очень легко сделать с помощью следующей кнопки…
(Если у вас уже есть учетная запись на нашем форуме, вам не нужно переходить по ссылке регистрации)
Присоединяйтесь к нашему сообществу
Подписывайтесь на нас в Telegram!
