Google Android
Un nou ransomware per a dispositius mòbils ha aparegut en línia. El virus digital mutant i en evolució s’adreça als telèfons intel·ligents que funcionen amb el sistema operatiu Android de Google. El programari maliciós intenta accedir mitjançant missatges SMS senzills però intel·ligentment dissimulats i, a continuació, aprofundeix en el sistema intern del telèfon mòbil. A més de mantenir ostatges crítics i sensibles, el nou cuc intenta agressivament propagar-se a altres víctimes a través de les plataformes de comunicació del telèfon intel·ligent compromès. La nova família de programes de ransomware marca una fita important però preocupant en el sistema operatiu Android de Google, que cada cop es considerava relativament segur davant dels ciberatacs específics.
Els professionals de la ciberseguretat que treballen per al popular desenvolupador d’antivirus, tallafocs i altres eines de protecció digital ESET, van descobrir una nova família de ransomware dissenyada per atacar el sistema operatiu mòbil Android de Google. Els cavalls de Troia digitals utilitzen missatges SMS per difondre's, van assenyalar els investigadors. Els investigadors d’ESET han batejat el nou programari maliciós com a Android / Filecoder.C i han observat una major activitat del mateix. Per cert, el ransomware sembla ser bastant nou, però marca el final d’un descens de dos anys en les noves deteccions de malware d’Android. En poques paraules, sembla que els pirates informàtics semblen tenir un interès renovat per orientar-se als sistemes operatius dels telèfons intel·ligents. Avui mateix hem informat de múltiples Vulnerabilitats de seguretat de 'Zero Interaction' que es van descobrir al sistema operatiu iOS d'Apple iPhone .
Filecoder actiu des del juliol de 2019, però es difon de forma ràpida i agressiva mitjançant una intel·ligent enginyeria social
Segons l'empresa eslovaca d'antivirus i ciberseguretat, Filecoder s'ha observat en estat salvatge recentment. Investigadors d’ESET afirmen que van notar que el ransomware es va estendre activament des del 12 de juliol de 2019. En poques paraules, sembla que el malware ha aparegut fa menys d’un mes, però el seu impacte podria augmentar cada dia.
El virus és particularment interessant perquè els atacs al sistema operatiu Android de Google han anat disminuint constantment des de fa uns dos anys. Això va generar la percepció general que Android era majoritàriament immune als virus o que els pirates informàtics no anaven específicament darrere dels telèfons intel·ligents i, en canvi, es dirigien als ordinadors de sobretaula o a un altre maquinari i electrònica. Els telèfons intel·ligents són dispositius bastant personals i, per tant, es podrien considerar objectius potencials limitats en comparació amb els dispositius utilitzats en empreses i organitzacions. Orientar els ordinadors o els dispositius electrònics en una configuració tan gran té diversos avantatges potencials, ja que una màquina compromesa pot oferir una forma ràpida de comprometre diversos altres dispositius. Aleshores es tracta d’analitzar la informació per seleccionar informació sensible. Per cert, sembla que tenen diversos grups de pirateria pivotat a la realització d'atacs d'espionatge a gran escala .
ALERTA DE SEGURETAT: emergeix la soca FileCoder d'Android Ransomware: apareix una nova varietat de ransomware a Android #mòbil dispositius. Està dirigit a aquells que executen el sistema operatiu Android 5.1 i versions posteriors. Aquesta varietat de ransomware d'Android ha estat batejada per ... https://t.co/edFpo45qbp pic.twitter.com/9r39kxS5iB
- Aquia Solutions (@AquiaSolutions) 30 de juliol de 2019
El nou ransomware, d’altra banda, només intenta restringir l’accés de la informació personal al propietari del telèfon intel·ligent Android. No hi ha cap indicació que el programari maliciós intenti filtrar o robar informació personal o sensible ni instal·lar altres càrregues útils, com ara registradors de claus o rastrejadors d’activitats, per intentar accedir a la informació financera.
Com s’estén Filecoder Ransomware al sistema operatiu Google Android?
Els investigadors han descobert que el ransomware Filecoder s’estén a través del sistema de missatgeria o SMS d’Android, però el seu punt d’origen es troba en altres llocs. Sembla que el virus s’està llançant a través de publicacions malicioses en fòrums en línia, inclosos Reddit i la placa de missatgeria per a desenvolupadors d’Android XDA Developers. Després que ESET va assenyalar les publicacions malicioses, els desenvolupadors de XDA van prendre mesures ràpides i van retirar els mitjans sospitosos, però el contingut qüestionable encara estava en funcionament en el moment de la publicació a Reddit.
La majoria de publicacions i comentaris maliciosos trobats per ESET intenten atraure les víctimes a la descàrrega de programari maliciós. El virus atrau la víctima imitant el contingut que normalment s’associa amb material pornogràfic. En alguns casos, els investigadors també van observar que alguns temes tècnics s’utilitzaven com a esquers. En la majoria dels casos, però, els atacants inclouen enllaços o codis QR que apunten a les aplicacions malicioses.
Per evitar la detecció immediata abans d’accedir-hi, els enllaços del programari maliciós s’emmagatzemen com a enllaços bit.ly. Diversos llocs d’aquest tipus d’escurçament d’enllaços s’han utilitzat en el passat per dirigir els usuaris d’Internet desconfiats a llocs web maliciosos, realitzar phishing i altres ciberatacs.
Els pirates informàtics difonen Android Ransomware per SMS als vostres contactes i xifren els fitxers del dispositiu: una nova família d’Android Ransomware anomenada Android / Filecoder.C va distribuir diversos fòrums en línia i utilitza la llista de contactes de la víctima per SMS amb un ... https://t.co/ddqwtfswl5 pic.twitter.com/6PJjmNyZKB
- Shah Sheikh (@shah_sheikh) 30 de juliol de 2019
Un cop el ransomware Filecoder s’ha instal·lat fermament al dispositiu mòbil Android de la víctima, no comença immediatament a bloquejar la informació de l’usuari. En lloc d'això, el programari maliciós primer fa una incursió en els contactes del sistema Android. Els investigadors van observar un comportament interessant però inquietant i agressiu del ransomware Filecoder. Bàsicament, el programari maliciós passa per la llista de contactes de la víctima de manera ràpida però exhaustiva per difondre’s.
El programari maliciós intenta enviar un missatge de text generat automàticament amb text redactat a totes les entrades de la llista de contactes del dispositiu mòbil Android. Per augmentar les possibilitats que les víctimes potencials facin clic i descarreguin el ransomware, el virus Filecoder desplega un truc interessant. L’enllaç contingut al missatge de text contaminat s’anuncia com a aplicació. Més important encara, el programari maliciós garanteix que el missatge contingui la foto de perfil de la possible víctima. A més, la foto es col·loca acuradament perquè s’adapti a una aplicació que la víctima ja utilitza. En realitat, és una aplicació falsa maliciosa que alberga el ransomware.
Encara més preocupant és el fet que el ransomware de Filecoder està codificat per ser multilingüe. Dit d’una altra manera, en funció de la configuració d’idioma del dispositiu infectat, els missatges es poden enviar en una de les 42 versions d’idiomes possibles. El programari maliciós també insereix el nom del contacte al missatge automàticament per augmentar l'autenticitat percebuda.
Com infecta i funciona el filecoder Ransomware?
Els enllaços que ha generat el programari maliciós solen contenir una aplicació que intenta atraure les víctimes. L’objectiu real de l’aplicació falsa s’executa discretament en segon pla. Aquesta aplicació conté paràmetres de control i control (C2) codificats, així com adreces de cartera de Bitcoin, dins del seu codi font. Els atacants també han utilitzat la popular plataforma de compartició de notes en línia Pastebin, però només serveix de conducte per a la recuperació dinàmica i possiblement altres punts d'infecció.
Després que el ransomware Filecoder hagi enviat amb èxit els SMS contaminats per lots i hagi completat la tasca, escaneja el dispositiu infectat per trobar tots els fitxers d'emmagatzematge i xifra la majoria. Els investigadors d’ESET han descobert que el programari maliciós xifra tots els tipus d’extensions de fitxers que s’utilitzen habitualment per a fitxers de text, imatges, vídeos, etc. Però, per alguna raó, deixa fitxers específics d’Android, com ara .apk o .dex. El programari maliciós tampoc no toca els fitxers comprimits .Zip i .RAR ni els fitxers de més de 50 MB. Els investigadors sospiten que els creadors de programari maliciós podrien haver fet una mala feina de copiar i enganxar contingut de WannaCry, una forma molt més severa i prolífica de ransomware. Tots els fitxers xifrats s'afegeixen amb l'extensió '.seven'
Els investigadors descobreixen Android / Filecoder.C, una nova família de ransomware d’Android que intenta estendre’s als contactes de les víctimes i desplegar alguns trucs inusuals. https://t.co/5iCvkVbAND @securitatdelvida @CAIXA #ransomware #Android pic.twitter.com/d150eY4N7X
- David Bisson (@DMBisson) 30 de juliol de 2019
Després de xifrar correctament els fitxers del dispositiu mòbil Android, el ransomware llança una nota de rescat típica que conté demandes. Els investigadors han notat que el ransomware de Filecoder fa una demanda que oscil·la entre els 98 i els 188 dòlars en criptomoneda. Per crear una sensació d’urgència, el programari maliciós també té un temporitzador senzill que dura uns 3 dies o 72 hores. La nota de rescat també esmenta quants fitxers manté com a ostatge.
Curiosament, el ransomware no bloqueja la pantalla del dispositiu ni impedeix l’ús d’un telèfon intel·ligent. En altres paraules, les víctimes encara poden utilitzar el seu telèfon intel·ligent Android, però no tindran accés a les seves dades. A més, fins i tot si les víctimes desinstal·len d'alguna manera l'aplicació maliciosa o sospitosa, no desfà els canvis ni desxifra els fitxers. Filecoder genera un parell de claus públiques i privades quan xifra el contingut d’un dispositiu. La clau pública està xifrada amb un potent algorisme RSA-1024 i un valor codificat que s’envia als creadors. Després que la víctima pagui a través dels detalls de Bitcoin proporcionats, l'atacant pot desxifrar la clau privada i deixar-la a la víctima.
Filecoder no només és agressiu, sinó que també és complex per aconseguir:
Investigadors d'ESET havien informat anteriorment que el valor de la clau codificada es podia utilitzar per desxifrar fitxers sense pagar la taxa de xantatge 'canviant l'algorisme de xifratge a un algoritme de desxifratge'. En resum, els investigadors van considerar que els creadors del ransomware Filecoder havien deixat enrere un mètode bastant senzill per crear un descifrador.
'A causa de la segmentació estreta i els defectes tant en l'execució de la campanya com en la implementació del seu xifratge, l'impacte d'aquest nou ransomware és limitat. Tot i això, si els desenvolupadors solucionen els defectes i els operadors comencen a dirigir-se a grups d’usuaris més amplis, el ransomware Android / Filecoder.C podria convertir-se en una greu amenaça ”.
El els investigadors han actualitzat la seva publicació sobre el ransomware de Filecoder i va aclarir que 'aquesta' clau codificada 'és una clau pública RSA-1024, que no es pot trencar fàcilment, per tant, és gairebé impossible crear un desxifrador d'aquest ransomware en particular'.
Curiosament, els investigadors també van observar que no hi ha res al codi del ransomware que permeti afirmar que les dades afectades es perdran un cop finalitzi el temporitzador de compte enrere. A més, sembla que els creadors de programari maliciós juguen amb la quantitat de rescat. Tot i que el 0,01 Bitcoin o BTC continua sent estàndard, els números posteriors semblen ser l’identificador d’usuari generat pel programari maliciós. Els investigadors sospiten que aquest mètode podria servir com a factor d’autenticació per fer coincidir els pagaments entrants amb la víctima per generar i enviar la clau de desxifratge.
Etiquetes android
