Uusi ransomware käyttää yksinkertaisia ​​tekstiviestejä Google Android -käyttöjärjestelmässä ja levittää sitten aggressiivisesti tallennettuihin kontakteihin uhrin valokuvan avulla

Google Android

Uusi mobiililaitteiden lunnasohjelma on tullut verkkoon. Mutaatio ja kehittyvä digitaalinen virus kohdistuu älypuhelimiin, joissa on Googlen Android-käyttöjärjestelmä. Haittaohjelma yrittää päästä sisään yksinkertaisen mutta kätevästi peitetyn tekstiviestin avulla ja kaivaa sitten syvälle matkapuhelimen sisäiseen järjestelmään. Kriittisen ja herkän panttivangin lisäksi uusi mato yrittää aggressiivisesti levitä muille uhreille vaarantuneiden älypuhelinten viestintäalustojen kautta. Uusi ransomware-perhe on tärkeä, mutta huolestuttava virstanpylväs Googlen Android-käyttöjärjestelmässä, jota pidettiin yhä enemmän suhteellisen turvallisena kohdennettujen kyberhyökkäysten varalta.

Kyberturvallisuuden ammattilaiset, jotka työskentelevät suositun virustentorjunta-, palomuuri- ja muun digitaalisen suojauksen työkalujen kehittäjän ESETissä, löysivät uuden ransomware-perheen, joka on suunniteltu hyökkäämään Googlen Android-mobiilikäyttöjärjestelmään. Digitaalinen Troijan hevonen käyttää tekstiviestejä leviämiseen, tutkijat totesivat. ESET-tutkijat ovat kutsuneet uuden haittaohjelman nimellä Android / Filecoder.C ja havainneet saman lisääntyneen aktiivisuuden. Muuten lunnasohjelma näyttää olevan aivan uusi, mutta se merkitsee kahden vuoden laskun päättymistä uusille Android-haittaohjelmien havaitsemisille. Yksinkertaisesti sanottuna näyttää siltä, ​​että hakkereilla näyttää olevan uusi kiinnostus kohdistaa älypuhelinten käyttöjärjestelmiin. Juuri tänään kerroimme useista ”Zero Interaction” -turvallisuusheikkoudet, jotka löydettiin Apple iPhone iOS -käyttöjärjestelmässä .

Tiedostokooderi aktiivinen heinäkuusta 2019 lähtien, mutta leviää nopeasti ja aggressiivisesti älykkään sosiaalisen suunnittelun avulla

Slovakian virustentorjunta- ja kyberturvallisuusyrityksen mukaan Filecoderia on havaittu luonnossa aivan äskettäin. ESET-tutkijoiden mukaan he havaitsivat lunnasohjelman leviävän aktiivisesti 12. heinäkuuta 2019 jälkeen. Yksinkertaisesti sanottuna haittaohjelma näyttää olevan esillä alle kuukausi sitten, mutta sen vaikutus voi kasvaa joka päivä.

Virus on erityisen mielenkiintoinen, koska hyökkäykset Googlen Android-käyttöjärjestelmään ovat vähentyneet tasaisesti noin kahden vuoden ajan. Tämä loi yleisen käsityksen siitä, että Android oli enimmäkseen immuuni viruksille tai että hakkerit eivät nimenomaan menneet älypuhelinten perään, vaan sen sijaan kohdistivat pöytätietokoneisiin tai muuhun laitteistoon ja elektroniikkaan. Älypuhelimet ovat melko henkilökohtaisia ​​laitteita, joten niitä voidaan pitää rajallisina potentiaalisina kohteina verrattuna yrityksissä ja organisaatioissa käytettyihin laitteisiin. Tietokoneiden tai elektronisten laitteiden kohdistaminen niin suurissa asetuksissa tarjoaa useita mahdollisia etuja, koska vaarantunut kone voi tarjota nopean tavan vaarantaa useita muita laitteita. Sitten on kyse tietojen analysoinnista arkaluontoisten tietojen valitsemiseksi. Muuten useat hakkerointiryhmät näyttävät olevan kääntyy laajamittaisten vakoiluhyökkäysten suorittamiseen .

TURVALLISUUSVAROITUS: Android Ransomware FileCoder Strain Emerges: Androidille ilmestyi uusi ransomware-kanta #mobiili laitteet. Se on suunnattu niille, jotka käyttävät käyttöjärjestelmää Android 5.1 tai uudempi. Tämän Android-lunnasohjelmakannan on kopioinut… https://t.co/edFpo45qbp pic.twitter.com/9r39kxS5iB

- Aquia Solutions (@AquiaSolutions) 30. heinäkuuta 2019

Uusi lunnasohjelma toisaalta vain yrittää rajoittaa Android-älypuhelimen omistajaa pääsemästä henkilökohtaisiin tietoihin. Ei ole mitään viitteitä siitä, että haittaohjelma yrittäisi vuotaa tai varastaa henkilökohtaisia ​​tai arkaluontoisia tietoja tai asentaa muita hyötykuormia, kuten näppäinlukijoita tai toiminnan seurantoja, yrittää saada taloutta koskevia tietoja.

Kuinka Filecoder Ransomware leviää Google Android -käyttöjärjestelmässä?

Tutkijat ovat havainneet, että Filecoder-lunnasohjelma leviää Android-viestien tai tekstiviestijärjestelmän kautta, mutta sen lähtöpaikka on muualla. Virus näyttää käynnistyvän haitallisten viestien kautta online-foorumeilla, mukaan lukien Reddit ja Android-kehittäjien viestikortti XDA Developers. Kun ESET on huomauttanut haitallisista viesteistä, XDA-kehittäjät ryhtyivät pikaisiin toimiin ja kumoivat epäillyn median, mutta kyseenalainen sisältö oli edelleen ajan tasalla julkaisuhetkellä Redditissä.

Suurin osa ESETin löytämistä haitallisista viesteistä ja kommenteista yrittää houkutella uhreja lataamaan haittaohjelmia. Virus vetää uhrin mukaan matkimalla sisältöä, joka yleensä liittyy pornografiseen materiaaliin. Joissakin tapauksissa tutkijat havaitsivat myös joitain teknisiä aiheita syötteinä. Useimmissa tapauksissa hyökkääjät sisälsivät kuitenkin linkkejä tai QR-koodeja, jotka osoittivat haitallisille sovelluksille.

Välttääksesi välittömän havaitsemisen ennen pääsyä haittaohjelman linkit on peitetty bit.ly-linkeiksi. Aiemmin on käytetty useita tällaisia ​​linkkien lyhentämissivustoja epäuskoisten Internet-käyttäjien ohjaamiseen haitallisille verkkosivustoille, tietojenkalasteluun ja muihin verkkohyökkäyksiin.

Hakkerit levittävät Android-ransomware-ohjelmaa tekstiviestillä yhteystietoihisi ja salaavat laitetiedostosi: Uusi Android-ransomware-perhe, joka on nimeltään Android / Filecoder.C, jakoi useita online-foorumeita ja käyttää edelleen uhrin yhteystietoluetteloa tekstiviestien lähettämiseen ... https://t.co/ddqwtfswl5 pic.twitter.com/6PJjmNyZKB

- Shah Sheikh (@shah_sheikh) 30. heinäkuuta 2019

Windows 10 ei tunnista iPhonea

Kun Filecoder-lunnasohjelma on tukevasti istutettu uhrin Android-mobiililaitteeseen, se ei heti aloita käyttäjän tietojen lukitsemista. Sen sijaan haittaohjelma hyökkää ensin Android-järjestelmän yhteyshenkilöihin. Tutkijat havaitsivat Filecoder-lunnasohjelman mielenkiintoista, mutta häiritsevästi aggressiivista käyttäytymistä. Pohjimmiltaan haittaohjelma leviää itsensä nopeasti, mutta perusteellisesti uhrin yhteyshenkilöluettelon läpi.

Haittaohjelma yrittää lähettää huolellisesti laaditun automaattisesti luodun tekstiviestin jokaiseen Android-mobiililaitteen yhteystietoluettelon kohtaan. Filecoder-virus tarjoaa mielenkiintoisen temppun, jotta mahdolliset uhrit napsauttavat ja lataavat lunnasohjelman. Tahratun tekstiviestin sisältämä linkki mainostetaan sovelluksena. Vielä tärkeämpää on, että haittaohjelma varmistaa, että viesti sisältää potentiaalisen uhrin profiilikuvan. Lisäksi kuva on sijoitettu huolellisesti sopivaksi sovellukseen, jota uhri jo käyttää. Todellisuudessa se on ilkeä väärennössovellus, joka sisältää lunnasohjelman.

Vielä huolestuttavampaa on se, että Filecoder-ransomware on koodattu monikieliseksi. Toisin sanoen tartunnan saaneen laitteen kieliasetuksesta riippuen viestit voidaan lähettää yhdessä 42 mahdollisesta kieliversiosta. Haittaohjelma lisää myös kontaktin nimen viestiin automaattisesti havaitun aitouden lisäämiseksi.

Kuinka Filecoder Ransomware tartuttaa ja toimii?

Haittaohjelman luomat linkit sisältävät yleensä sovelluksen, joka yrittää houkutella uhreja. Väärennetyn sovelluksen todellinen tarkoitus on huomaamaton taustalla. Tämä sovellus sisältää lähdekoodissa kovakoodatut komento-ja -ohjausasetukset (C2) sekä Bitcoin-lompakon osoitteet. Hyökkääjät ovat käyttäneet myös suosittua muistiinpanojen jakamisalustaa Pastebin, mutta se toimii vain kanavana dynaamiseen hakuun ja mahdollisesti muihin tartuntapisteisiin.

Kun Filecoder-ransomware on onnistuneesti lähettänyt tahraton tekstiviesti erissä ja suorittanut tehtävän, se skannaa tartunnan saaneen laitteen löytääkseen kaikki tallennustiedostot ja salaa suurimman osan niistä. ESET-tutkijat ovat havainneet, että haittaohjelma salaa kaiken tyyppiset tiedostotunnisteet, joita käytetään yleisesti tekstitiedostoihin, kuviin, videoihin jne. Mutta jostain syystä se jättää Android-erityiset tiedostot, kuten .apk tai .dex. Haittaohjelma ei myöskään koske pakattuja .Zip- ja .RAR-tiedostoja sekä yli 50 Mt: n tiedostoja. Tutkijat epäilevät, että haittaohjelmien luojat ovat saattaneet tehdä huonoa copy-paste-työtä nostaakseen sisältöä WannaCrystä, joka on paljon vakavampi ja tuottavampi ransomware-muoto. Kaikkiin salattuihin tiedostoihin on liitetty tunniste '.seven'

Tutkijat löytävät Android / Filecoder.C: n, uuden Android-ransomware-perheen, joka yrittää levitä uhrien kontakteihin ja ottaa käyttöön joitain epätavallisia temppuja https://t.co/5iCvkVbAND @welivesecurity @CASE #ransomware #Android pic.twitter.com/d150eY4N7X

- David Bisson (@DMBisson) 30. heinäkuuta 2019

Salattuaan tiedostot Android-mobiililaitteessa, ransomware vilkkuu sitten tyypillisen vaatimuksia sisältävän lunnaita koskevan huomautuksen. Tutkijat ovat huomanneet, että Filecoder-lunnasohjelma haastaa noin 98–188 dollaria kryptovaluutassa. Kiireellisyyden luomiseksi haittaohjelmalla on myös yksinkertainen ajastin, joka kestää noin 3 päivää tai 72 tuntia. Lunnaita koskevassa huomautuksessa mainitaan myös, kuinka monta tiedostoa se pitää panttivankina.

Mielenkiintoista on, että lunnasohjelma ei lukitse laitteen näyttöä eikä estä älypuhelimen käyttöä. Toisin sanoen uhrit voivat silti käyttää Android-älypuhelinta, mutta heillä ei ole pääsyä tietoihinsa. Lisäksi vaikka uhrit poistaisivat jotenkin haitallisen tai epäillyn sovelluksen, se ei kumoa muutoksia tai purkaa tiedostoja. Filecoder luo julkisen ja yksityisen avaimen parin salaamalla laitteen sisältöä. Julkinen avain on salattu tehokkaalla RSA-1024-algoritmilla ja kovakoodatulla arvolla, joka lähetetään tekijöille. Kun uhri on maksanut toimitettujen Bitcoin-tietojen kautta, hyökkääjä voi purkaa yksityisen avaimen ja vapauttaa sen uhrille.

Tiedostokooderi paitsi aggressiivinen myös monimutkainen päästä eroon:

ESET-tutkijat olivat aiemmin ilmoittaneet, että kovakoodattua avainarvoa voitiin käyttää tiedostojen salauksen purkamiseen maksamatta kiristysmaksua 'vaihtamalla salausalgoritmi salauksen algoritmiksi'. Lyhyesti sanottuna tutkijat kokivat, että Filecoder-lunnasohjelman luojat olivat tahattomasti jättäneet jälkeensä melko yksinkertaisen menetelmän salauksen purkajan luomiseksi.

'Kapean kohdennuksen ja virheiden vuoksi sekä kampanjan toteuttamisessa että sen salauksen toteuttamisessa tämän uuden lunnasohjelman vaikutus on rajallinen. Jos kehittäjät korjaavat puutteet ja operaattorit alkavat kohdistaa laajemmille käyttäjäryhmille, Android / Filecoder.C-lunnasohjelmasta voi tulla vakava uhka. '

tutkijat ovat päivittäneet viestiään Filecoder-lunnasohjelmasta ja selvensi, että 'tämä' kovakoodattu avain 'on julkinen RSA-1024-avain, jota ei voida helposti rikkoa, joten salauksen purkimen luominen tälle lunnasohjelmalle on melkein mahdotonta.'

Oudolla tavalla tutkijat havaitsivat myös, että lunnasohjelman koodissa ei ole mitään, mikä tukisi väitettä siitä, että kyseiset tiedot menetetään lähtölaskennan päättyessä. Lisäksi haittaohjelmien luojat näyttävät pelaavan lunnaiden määrällä. Vaikka 0,01 Bitcoin tai BTC pysyy vakiona, seuraavat numerot näyttävät olevan haittaohjelman tuottama käyttäjätunnus. Tutkijat epäilevät, että tämä menetelmä voisi toimia todennustekijänä vastaamaan saapuvia maksuja uhrin kanssa salauksenavaimen luomiseksi ja lähettämiseksi.