Aplicativos

Novo Android Ransomware usa spam de SMS para infectar suas vítimas

Uma nova família de ransomware destinada a dispositivos Android se espalha para outras vítimas enviando mensagens de texto contendo links maliciosos para toda a lista de contatos encontrada em destinos já infectados.

O malware apelidado de Android / Filecoder.C (FileCoder) pela equipe de pesquisa da ESET descobriu que ele está segmentando dispositivos que executam o Android 5.1 ou posterior.

“Devido à estreita segmentação e falhas na execução da campanha e na implementação de sua criptografia, o impacto desse novo ransomware é limitado”, descobriram os pesquisadores da ESET.

“Depois que o ransomware envia esse lote de mensagens maliciosas, ele criptografa a maioria dos arquivos do usuário e solicita um resgate. Devido à criptografia defeituosa, é possível descriptografar os arquivos afetados sem a assistência do invasor”, acrescenta a ESET.

Apesar disso, se os desenvolvedores do ransomware conseguirem consertar seu “produto”, muitos usuários do Android podem ser expostos a uma cepa de malware muito perigosa e potencialmente altamente destrutiva.

Vetor de infecção de ransomware SMS

O FileCoder foi visto pela primeira vez pela ESET durante uma campanha que durou até 12 de julho, com os invasores distribuindo sua carga maliciosa por meio de postagens feitas no Reddit e na comunidade de desenvolvimento de software móvel XDA Developers.

Enquanto o XDA removeu as postagens maliciosas depois de ser notificado, os tópicos do Reddit ainda estavam em alta, e no momento em que o pesquisador de malware da ESET, Lukas Stefanko,  publicou a análise de malware do FileCoder.

Os desenvolvedores do FileCoder usam dois servidores para distribuir o ransomware, com cargas úteis maliciosas sendo vinculadas tanto das mensagens de texto mal-intencionadas enviadas à lista de contatos inteira das vítimas quanto das postagens no fórum do Reddit e do XDA.

SMS malicioso
SMS malicioso

Os exemplos de ransomware também estão vinculados, com a ajuda de códigos QR, que tornariam mais rápido para os usuários móveis obterem os APKs maliciosos em seus dispositivos e instalá-los em seus dispositivos.

Como isca para convencer as vítimas em potencial a instalar os aplicativos infectados do Android em seus dispositivos, as operadoras do FileCoder diriam que o aplicativo “supostamente usa as fotos da vítima em potencial”.

No entanto, o fórum do Reddit e do XDA publica “promover” o aplicativo malicioso como um jogo online de simulador de sexo gratuito que também deve baixar a proteção dos alvos em potencial para baixar e instalar o aplicativo ransomware em seus dispositivos.

Como o BleepingComputer encontrou ao analisar uma amostra do FileCoder, ao ser instalado no dispositivo Android da vítima, o malware solicitará as seguintes permissões:

android.permission.SET_WALLPAPER
android.permission.WRITE_EXTERNAL_STORAGE
android.permission.READ_EXTERNAL_STORAGE
android.permission.READ_CONTACTS
android.permission.RECEIVE_BOOT_COMPLETED
android.permission.SEND_SMS
android.permission.INTERNET

“Para maximizar seu alcance, o ransomware tem as 42 versões de idioma do modelo de mensagem […]. Antes de enviar as mensagens, ele escolhe a versão que se encaixa na configuração de idioma do dispositivo vítima. Para personalizar essas mensagens, o malware preenche nome para eles, “ESET encontrado.

Contato FileCoder roubar e criar SMS malicioso

O ransomware FileCoder solicita às suas vítimas um ransomware Bitcoin, com os endereços Bitcoin e o servidor de comando e controle (C2) sendo codificados dentro do código-fonte do malware, mas com a opção de novos endereços serem enviados através do serviço Pastebin.

FileCoder se espalhará para a lista de contatos da vítima via SMS antes de começar a criptografar arquivos em todas as pastas no armazenamento do dispositivo que ele possa acessar, acrescentando a extensão .seven aos nomes de arquivos originais – os arquivos do sistema serão ignorados.

“O ransomware também deixa os arquivos não criptografados se a extensão do arquivo for” .zip “ou” .rar “e o tamanho do arquivo for superior a 51.200 KB / 50 MB e arquivos” .jpeg “,” .jpg “e” .png ” um tamanho de arquivo inferior a 150 KB “, adiciona o ESET.

O malware irá criptografar uma mistura estranha de tipos de arquivos específicos do Android, bem como uma estranha combinação de tipos de documentos não relacionados, com a equipe de pesquisa da ESET concluindo que “a lista foi copiada do notório WannaCryptor aka WannaCry ransomware”.

Recuperando Novos Domínios do Servidor C2 e Endereços BTC
Recuperando Novos Domínios do Servidor C2 e Endereços BTC

Servidores FileCoder C2 ainda ativos

Depois que todos os arquivos forem bloqueados pelo malware, ele exibirá a nota de resgate, detalhando o número de arquivos criptografados e o tempo que a vítima tem que pagar pelo custo da chave de descriptografia – os valores do resgate variam entre US $ 94 e US $ 188.

Enquanto a nota de resgate diz que os dados serão perdidos se o resgate não for pago dentro de três dias, “não há nada no código do ransomware para apoiar a alegação de que os dados afetados serão perdidos após 72 horas”.

Nota de resgate FileCoder
Nota de resgate FileCoder

Ao contrário da maioria das outras cepas de ransomware do Android, o FileCoder não bloqueará as telas das vítimas e permitirá que elas continuem usando seus dispositivos, dependendo apenas do fato de que seus alvos vão querer que seus arquivos sejam descriptografados o mais rápido possível.

FileCoder criptografa arquivos usando novas chaves AES para cada um dos arquivos que ele bloqueia, empregando um par de chaves públicas e privadas, com o último sendo criptografado com a ajuda do algoritmo RSA.

No entanto, como os desenvolvedores do ransomware codificaram o valor usado para criptografar a chave privada dentro do código do malware, as vítimas podem descriptografar seus dados sem pagar o resgate.

“Tudo o que é necessário é o UserID [..] fornecido pelo ransomware, e o arquivo APK do ransomware no caso de seus autores mudarem o valor da chave codificada”, descobriram os pesquisadores da ESET.

Servidor FileCoder

Na época em que essa história foi publicada, os servidores usados ​​pelos autores do FileCoder ainda estavam on-line, com a página de verificação de pagamento de resgate também disponível por meio de um dos arquivos hospedados nos servidores C2 do malware.

A página de verificação de pagamento também fornece às vítimas um ’email de suporte’ projetado para permitir que eles peçam ajuda caso enfrentem qualquer problema: “Se você tiver alguma dúvida, entre em contato conosco. Nosso endereço de e-mail: [email protected]”.

Mais detalhes sobre o funcionamento interno do ransomware Android / Filecoder.C, juntamente com uma lista de indicadores de comprometimento (IOCs), incluindo hashes de amostra de malware, o endereço Bitcoin usado na campanha, estão disponíveis no final da análise de malware Filecoder da Stefanko .

Fonte

Mais Lidas

To Top