Sebbene il ransomware Android sia inattivo dal 2017, i ricercatori ESET hanno scoperto una nuova famiglia di ransomware che utilizza gli elenchi di contatti delle vittime per diffondersi ulteriormente tramite SMS contenenti collegamenti dannosi.
Il nuovo software ransomware, denominato Android / Filecoder.C, è stato distribuito su Reddit su argomenti legati ai contenuti per adulti, oltre che per breve tempo tramite il forum "XDA Developers".
Il ricercatore ESET che ha condotto l'indagine, Lukáš Štefanko, ha fornito ulteriori informazioni sulla campagna ransomware scoperta dalla società, affermando:
"La campagna che abbiamo scoperto è piccola e piuttosto amatoriale. Inoltre, il ransomware stesso è difettoso, soprattutto per quanto riguarda la crittografia mal implementata. Tutti i file crittografati possono essere recuperati senza l'aiuto di aggressori. Tuttavia, se gli sviluppatori li correggono. Errori e distribuzione diventa più avanzato, questo nuovo ransomware potrebbe diventare una seria minaccia. "
Android / Codificatore di file.C
Android / Filecoder.C ha attirato l'attenzione dei ricercatori ESET grazie al suo meccanismo di trasmissione unico. Prima di iniziare a crittografare i file, il ransomware invia un batch di messaggi di testo a ciascun indirizzo nell'elenco dei contatti della vittima che contiene un collegamento dannoso al file di installazione del ransomware.
Oltre al suo meccanismo di diffusione non tradizionale, Android / Filecoder.C contiene alcune anomalie nella sua crittografia. Il software ransomware esclude file di grandi dimensioni (maggiori di 50 MB) e immagini piccole (meno di 150 KB). L'elenco dei "tipi di file da crittografare" contiene anche molte voci non correlate ad Android, così come alcune delle tipiche estensioni Android che Štefanko dice derivare direttamente dalla copia del rispettabile elenco di ransomware WannaCry.
A differenza del classico ransomware Android, Android / Filecoder.C non impedisce agli utenti di accedere ai propri dispositivi bloccando lo schermo. Inoltre, il riscatto non è definito come un valore hardcoded. L'importo richiesto dagli aggressori viene creato dinamicamente utilizzando l'ID utente assegnato dal ransomware alla vittima. Questo processo si traduce in un importo di riscatto individuale per ciascuna vittima, compreso tra 0.01 e 0.02 BTC.
Per evitare di essere vittima di ransomware, ESET consiglia di mantenere aggiornati i dispositivi, scaricare solo applicazioni da Google Play o altri negozi di applicazioni affidabili, controllare valutazioni e recensioni delle applicazioni prima dell'installazione, per prestare particolare attenzione alle autorizzazioni richieste app. e utilizza una soluzione di sicurezza mobile per proteggere il tuo dispositivo.