Шифрувальник Filecoder поширюється за допомогою SMS і маскується під порноігру

08:52
Шифрувальник Filecoder поширюється за допомогою SMS і маскується під порноігру

   Фахівці компанії ESET розповіли про нову Android-малварь Android / Filecoder.C (далі просто Filecoder), яка в липні 2019 року поширювалася через SMS-повідомлення, а також QR-коди в підрозділах про порнографію на Reddit і форумі XDA Developers (під виглядом безкоштовної онлайн-ігри, що представляє собою симулятор сексу). В даний час шифрувальник атакує пристрої під управлінням Android 5.1 або пізніших версій.

    Дослідники відзначають, що адміністрація XDA видаляла шкідливі повідомлення після скарг, але посилання на Reddit все ще працювали, коли аналітики ESET опублікували свій звіт.
     Для приховування підозрілих адрес зловмисники використовують сервіс для створення коротких посилань bit.ly. Через QR-коди поширюються шкідливі APK-файли, тобто заражені додатки, які запитують наступні дозволи:
• android.permission.SET_WALLPAPER
• android.permission.WRITE_EXTERNAL_STORAGE
• android.permission.READ_EXTERNAL_STORAGE
• android.permission.READ_CONTACTS
• android.permission.RECEIVE_BOOT_COMPLETED
• android.permission.SEND_SMS
• android.permission.INTERNET
     Після установки на пристрій шкідливий додаток розсилає текстові повідомлення за всім списком контактів жертви, підштовхуючи одержувачів клікнути по посиланню і теж завантажити шкідливу програму (в повідомленнях зловмисники запевняють, що фото жертви були додані в якийсь порнододаток).

     Шахрайські повідомлення складені на 42 мовах, однак уважний користувач може запідозрити недобре: переклади не відрізняються якістю, і найчастіше SMS представляють собою безглуздий набір слів.
     В результаті зараження файли на пристрої жертви шифруються. Але список, що розпізнається програмою розширень для шифрування, виглядає незвично — в ньому фігурують типи файлів, ніяк не пов'язані з ОС Android. Крім того, вимагач залишає незашифрованими певні файли: якщо їх розширення .zip або .rar, розмір файлу перевищує 51200 Кб / 50 Мб, а також файли .jpeg, .jpg і .png розміром менше 150 Кб.
«Схоже, перелік розширень для шифрування скопійований з списку, який використовувався в відомої кампанії WannaCry», — зазначає експерт ESET Лукас Стефанко.
    Після цього користувач отримує повідомлення про необхідність заплатити викуп у біткоіні, а в іншому випадку всі файли нібито будуть стерті через 72 години. Втім, аналітики ESET не виявлено в коді вимагача команд на видалення файлів через якесь обмежений час.

    Цікаво, що на відміну від більшості інших здирників для Android, Filecoder не блокуватиме екран жертви і дозволить їй продовжувати користуватися пристроєм. Також примітно, що кожній жертві призначається унікальна сума викупу в межах 0,01-0,02 біткоіна (від 3000 до 6000гривень). 
    «Унікальна сума викупу є нововведенням, ми ніколи не зустрічали подібної моделі вимагання у Android-користувачів, — пише Стефанко. — В цілому, виявлена кампанія виглядає непрофесійно. Однак якщо дистрибутив буде покращено, ця програма-вимагач може стати серйозною загрозою ».

Комментарии 0

Предпросмотр
Завантаження...
Будьте первым, кто оставит комментарий.