Google Android
В сети появилась новая программа-вымогатель для мобильных устройств. Мутирующий и развивающийся цифровой вирус нацелен на смартфоны под управлением операционной системы Android от Google. Вредоносная программа пытается проникнуть через простое, но искусно замаскированное SMS-сообщение, а затем копается во внутренней системе мобильного телефона. Помимо того, что он держит в заложниках критически важных и чувствительных людей, новый червь активно пытается распространиться на других жертв через коммуникационные платформы скомпрометированного смартфона. Новое семейство программ-вымогателей знаменует собой важную, но тревожную веху в ОС Android от Google, которая все чаще считается относительно безопасной от целевых кибератак.
Специалисты по кибербезопасности, работающие на популярного разработчика антивирусов, брандмауэров и других инструментов цифровой защиты ESET, обнаружили новое семейство программ-вымогателей, предназначенных для атак на мобильную операционную систему Google Android. Исследователи отметили, что цифровой троянский конь использует для распространения SMS-сообщения. Исследователи ESET назвали новое вредоносное ПО Android / Filecoder.C и обнаружили, что его активность возросла. Кстати, программа-вымогатель кажется довольно новой, но она знаменует собой конец двухлетнего спада обнаружения новых вредоносных программ для Android. Проще говоря, похоже, что у хакеров возобновился интерес к нацеливанию на операционные системы смартфонов. Буквально сегодня мы сообщили о нескольких Уязвимости системы безопасности «нулевого взаимодействия», обнаруженные в операционной системе Apple iPhone iOS. .
Filecoder активен с июля 2019 года, но быстро и агрессивно распространяется благодаря умной социальной инженерии
По данным словацкой компании, занимающейся антивирусами и кибербезопасностью, Filecoder недавно был замечен в дикой природе. Исследователи ESET утверждают, что они заметили, что программа-вымогатель активно распространяется с 12 июля 2019 года. Проще говоря, вредоносное ПО, похоже, появилось менее месяца назад, но его влияние может возрастать с каждым днем.
Этот вирус особенно интересен, потому что количество атак на операционную систему Google Android неуклонно сокращается в течение примерно двух лет. Это породило общее мнение, что Android в основном невосприимчив к вирусам или что хакеры не преследуют конкретно смартфоны, а вместо этого нацеливаются на настольные компьютеры или другое оборудование и электронику. Смартфоны являются довольно личными устройствами, и поэтому их можно рассматривать как ограниченные потенциальные цели по сравнению с устройствами, используемыми в компаниях и организациях. Нацеливание на ПК или электронные устройства в таких больших помещениях имеет несколько потенциальных преимуществ, поскольку взломанная машина может предложить быстрый способ взлома нескольких других устройств. Затем нужно проанализировать информацию, чтобы выбрать конфиденциальную информацию. Между прочим, у нескольких хакерских групп есть направлен на проведение крупномасштабных шпионских атак .
ПРЕДУПРЕЖДЕНИЕ О БЕЗОПАСНОСТИ: Появляется штамм FileCoder для Android Ransomware: на Android появился новый вид вымогателей #mobile устройств. Он нацелен на тех, кто работает под управлением операционной системы Android 5.1 и выше. Этот штамм вымогателя для Android был назван… https://t.co/edFpo45qbp pic.twitter.com/9r39kxS5iB
- Решения Aquia (@AquiaSolutions) 30 июля 2019 г.,
С другой стороны, новая программа-вымогатель просто пытается ограничить доступ владельца смартфона Android к личной информации. Нет никаких указаний на то, что вредоносное ПО пытается утечь или украсть личную или конфиденциальную информацию или установить другие полезные нагрузки, такие как кейлоггеры или трекеры активности, чтобы попытаться получить доступ к финансовой информации.
Как Filecoder Ransomware распространяется в операционной системе Google Android?
Исследователи обнаружили, что программа-вымогатель Filecoder распространяется через систему обмена сообщениями Android или SMS, но ее источник находится в другом месте. Похоже, что вирус распространяется через вредоносные сообщения на онлайн-форумах, включая Reddit и доску сообщений для разработчиков Android XDA Developers. После того как ESET указала на вредоносные сообщения, разработчики XDA незамедлительно приняли меры и удалили подозрительные носители, но сомнительный контент все еще оставался на момент публикации на Reddit.
Большинство вредоносных сообщений и комментариев, обнаруженных ESET, пытаются склонить жертв к загрузке вредоносного ПО. Вирус тянет в жертву, имитируя содержание, которое обычно ассоциируется с порнографическими материалами. В некоторых случаях исследователи также наблюдали, как некоторые технические предметы использовались в качестве приманок. Однако в большинстве случаев злоумышленники использовали ссылки или QR-коды, указывающие на вредоносные приложения.
Чтобы избежать немедленного обнаружения до доступа, ссылки вредоносного ПО маскируются как ссылки bit.ly. Несколько таких сайтов для сокращения ссылок использовались в прошлом для направления ничего не подозревающих пользователей Интернета на вредоносные веб-сайты, проведения фишинга и других кибератак.
Хакеры распространяют программы-вымогатели Android с помощью SMS среди ваших контактов и шифруют файлы вашего устройства. Новое семейство программ-вымогателей Android, получившее название Android / Filecoder.C, распространяло различные онлайн-форумы и далее использует список контактов жертвы для отправки SMS с… https://t.co/ddqwtfswl5 pic.twitter.com/6PJjmNyZKB
- Шах Шейх (@shah_sheikh) 30 июля 2019 г.,
Как только программа-вымогатель Filecoder прочно обосновалась на мобильном устройстве Android жертвы, она не сразу начинает блокировать информацию пользователя. Вместо этого вредоносная программа сначала атакует контакты системы Android. Исследователи наблюдали интересное, но тревожно агрессивное поведение программы-вымогателя Filecoder. По сути, вредоносная программа быстро, но тщательно просматривает список контактов жертвы для распространения.
Вредоносная программа пытается отправить тщательно сформулированное автоматически сгенерированное текстовое сообщение на каждую запись в списке контактов мобильного устройства Android. Чтобы повысить вероятность того, что потенциальные жертвы нажмут и загрузят программу-вымогатель, вирус Filecoder использует интересный трюк. Ссылка, содержащаяся в испорченном текстовом сообщении, рекламируется как приложение. Что еще более важно, вредоносная программа гарантирует, что сообщение содержит фотографию профиля потенциальной жертвы. Более того, фотография размещена так, чтобы поместиться в приложение, которое жертва уже использует. На самом деле это вредоносное поддельное приложение, содержащее вымогателей.
Еще большее беспокойство вызывает тот факт, что вымогатель Filecoder имеет многоязычный код. Другими словами, в зависимости от языковых настроек зараженного устройства сообщения могут отправляться на одной из 42 возможных языковых версий. Вредоносная программа также автоматически вставляет имя контакта в сообщение, чтобы повысить его достоверность.
Как заражает и работает программа-вымогатель Filecoder?
Ссылки, созданные вредоносной программой, обычно содержат приложение, которое пытается заманить жертв. Настоящая цель поддельного приложения незаметно работает в фоновом режиме. Это приложение содержит жестко запрограммированные настройки управления и контроля (C2), а также адреса биткойн-кошельков в исходном коде. Злоумышленники также использовали популярную онлайн-платформу для обмена заметками Pastebin, но она служит только каналом для динамического поиска и, возможно, дополнительных точек заражения.
После того, как программа-вымогатель Filecoder успешно отправила испорченное SMS-сообщение партиями и выполнила задачу, она сканирует зараженное устройство, чтобы найти все файлы хранилища и зашифровать большинство из них. Исследователи ESET обнаружили, что вредоносное ПО шифрует все типы расширений файлов, которые обычно используются для текстовых файлов, изображений, видео и т. Д. Но по какой-то причине оно оставляет файлы, специфичные для Android, такие как .apk или .dex. Также вредоносная программа не затрагивает сжатые файлы .Zip и .RAR, а также файлы размером более 50 МБ. Исследователи подозревают, что создатели вредоносных программ, возможно, плохо справились с копированием и извлекли контент из WannaCry, гораздо более серьезной и распространенной формы вымогателя. Все зашифрованные файлы имеют расширение «.seven».
Исследователи обнаружили Android / Filecoder.C, новое семейство программ-вымогателей для Android, которые пытаются распространиться среди контактов жертв и используют некоторые необычные уловки. https://t.co/5iCvkVbAND @welivesecurity @ДЕЛО #ransomware #Android pic.twitter.com/d150eY4N7X
- Дэвид Биссон (@DMBisson) 30 июля 2019 г.,
После успешного шифрования файлов на мобильном устройстве Android программа-вымогатель высылает типичную записку с требованием выкупа. Исследователи заметили, что программа-вымогатель Filecoder требует от примерно 98 до 188 долларов в криптовалюте. Чтобы создать ощущение срочности, вредоносная программа также имеет простой таймер, рассчитанный на 3 дня или 72 часа. В записке о выкупе также упоминается, сколько файлов находится в заложниках.
Интересно, что программа-вымогатель не блокирует экран устройства и не препятствует использованию смартфона. Другими словами, жертвы по-прежнему могут использовать свой Android-смартфон, но не будут иметь доступа к их данным. Более того, даже если жертвы каким-то образом удаляют вредоносное или подозрительное приложение, оно не отменяет изменения и не расшифровывает файлы. Filecoder генерирует пару открытого и закрытого ключей при шифровании содержимого устройства. Открытый ключ зашифрован с помощью мощного алгоритма RSA-1024 и жестко запрограммированного значения, которое отправляется создателям. После того, как жертва заплатит через предоставленные данные биткойнов, злоумышленник может расшифровать закрытый ключ и передать его жертве.
Filecoder не только агрессивен, но и сложен в использовании:
Исследователи ESET ранее сообщали, что жестко закодированное значение ключа можно использовать для расшифровки файлов без уплаты пошлины за шантаж, «заменив алгоритм шифрования на алгоритм дешифрования». Короче говоря, исследователи посчитали, что создатели программы-вымогателя Filecoder по неосторожности оставили после себя довольно простой метод создания дешифратора.
«Из-за узкого таргетинга и недостатков как в проведении кампании, так и в реализации ее шифрования, влияние этой новой программы-вымогателя ограничено. Однако если разработчики исправят недостатки и операторы начнут нацеливаться на более широкие группы пользователей, вымогатель Android / Filecoder.C может стать серьезной угрозой ».
В исследователи обновили свой пост о программе-вымогателе Filecoder и пояснил, что «этот« жестко закодированный ключ »является открытым ключом RSA-1024, который нелегко взломать, поэтому создание дешифратора для этого конкретного вымогателя практически невозможно».
Как ни странно, исследователи также заметили, что в коде программы-вымогателя нет ничего, что могло бы подтвердить утверждение о том, что затронутые данные будут потеряны после завершения таймера обратного отсчета. Более того, похоже, что создатели вредоносного ПО играют с суммой выкупа. Хотя биткойн 0,01 или BTC остается стандартным, последующие числа, по-видимому, являются идентификатором пользователя, сгенерированным вредоносной программой. Исследователи подозревают, что этот метод может служить фактором аутентификации для сопоставления входящих платежей с жертвой для генерации и отправки ключа дешифрования.
Теги андроид
