Sus investigadores ESET descubrió una nueva familia de ataques de ransomware Android, el Android/Filecoder.C, que utiliza la lista de contactos de las víctimas y trata de difundirse más SMS con enlaces maliciosos.
Τeste nuevo ransomware se está propagando en Reddit a través de contenido pornográfico. ESET ha informado sobre el perfil malicioso utilizado en la campaña de propagación de ransomware, pero aún está activo. Durante un breve período de tiempo, la campaña también se desarrolló en "XDA developers", un foro para desarrolladores de Android. Según el informe de ESET, los ciberdelincuentes que operan ransomware han eliminado las publicaciones maliciosas.
Android / Filecoder.C utiliza hojas de cálculo interesantes. Antes de que comience el cifrado de archivos, se envían varios mensajes de texto a cada dirección en la lista de contactos de la víctima, lo que solicita a los destinatarios que hagan clic en un enlace malicioso que conduce al archivo de instalación del ransomware. "En teoría, pueden producirse un sinfín de infecciones, ya que este mensaje malicioso está disponible en 42 idiomas. Afortunadamente, incluso los usuarios menos sospechosos pueden entender que los mensajes no se traducen correctamente y en algunos idiomas no parecen tener sentido ", dijo Lukáš Štefanko, jefe de investigación.
Además de su mecanismo de implementación no tradicional, Android / Filecoder.C tiene algunas anomalías en su cifrado. Excluye archivos grandes (más de 50 MB) e imágenes pequeñas (por debajo de 150 kB), mientras que la lista de "tipos de archivos para cifrado" contiene muchas entradas que no están relacionadas con Android, mientras que faltan algunas de las extensiones que son comunes para Android. "Obviamente, la lista se ha copiado del infame ransomware WannaCry", señala Štefanko.
Hay otros datos interesantes sobre el enfoque poco ortodoxo utilizado por los desarrolladores de este malware. A diferencia del ransomware estándar para Android, Android / Filecoder.C no impide que el usuario acceda al dispositivo cerrando la pantalla. Además, no se ha establecido una cantidad específica como rescate. En cambio, la cantidad que los atacantes piden a cambio de la promesa de descifrar los archivos se genera dinámicamente utilizando el UserID que el ransomware ha especificado para esa víctima. Este proceso da como resultado que el monto del rescate sea único cada vez, con un rango de 0,01-0,02 BTC.
«El truco del rescate único no tiene precedentes: nunca lo hemos visto en ningún ransomware dirigido al ecosistema de Android.", Dice ftefanko. «Más bien, el objetivo es identificar los pagos por víctima, lo que generalmente se resuelve creando una billetera Bitcoin única para cada dispositivo cifrado. En esta campaña, detectamos que solo se utilizó una billetera Bitcoin".
Según Lukáš ftefanko, los usuarios con dispositivos protegidos por ESET Mobile Security no corren riesgo de sufrir esta amenaza. «Reciben una notificación sobre un enlace malicioso. Incluso si ignoran la advertencia y descargan la aplicación, la solución de seguridad la bloqueará".
[the_ad_group id = ”966 ″]ΜNo olvide unirse (registrarse) en nuestro foro, lo cual se puede hacer muy fácilmente con el siguiente botón ...
(Si ya tiene una cuenta en nuestro foro, no necesita seguir el enlace de registro)
¡Síguenos en Telegram!
