Μπορεί τα ransomware που επιτίθενται σε Android να βρίσκονται σε πτωτική τάση από το 2017, ωστόσο πρόσφατα, οι ερευνητές της ESET ανακάλυψαν μια νέα οικογένεια, την Android / Filecoder.C, που χρησιμοποιεί τη λίστα επαφών των θυμάτων και προσπαθεί να εξαπλωθεί περαιτέρω μέσω SMS με κακόβουλους συνδέσμους.
Το νέο αυτό ransomware εξαπλώνεται στο Reddit μέσα από θέματα με πορνογραφικό περιεχόμενο. Η ESET έχει αναφέρει το κακόβουλο προφίλ που χρησιμοποιήθηκε στην εκστρατεία εξάπλωσης του ransomware, ωστόσο εξακολουθεί να είναι ενεργό. Για ένα σύντομο χρονικό διάστημα, η εκστρατεία είχε επίσης τρέξει στο «XDA developers», ένα φόρουμ για προγραμματιστές Android. Σύμφωνα με την έκθεση της ESET, οι κυβερνοεγκληματίες που χειρίζονται το ransomware, έχουν αφαιρέσει τις κακόβουλες αναρτήσεις.
«Η εκστρατεία που ανακαλύψαμε είναι μικρή και μάλλον ερασιτεχνική. Ωστόσο, αν βελτιώσει τις τεχνικές μόλυνσης, αυτό το νέο ransomware θα μπορούσε να εξελιχθεί σε μια σοβαρή απειλή», σχολιάζει ο ερευνητής της ESET Lukáš Štefanko, επικεφαλής της έρευνας.
Το Android / Filecoder.C χρησιμοποιεί ενδιαφέροντες μηχανισμούς εξάπλωσης. Πριν ξεκινήσει την κρυπτογράφηση αρχείων, στέλνονται πολλά μηνύματα κειμένου σε κάθε διεύθυνση στη λίστα επαφών του θύματος, ωθώντας τους παραλήπτες να κάνουν κλικ σε έναν κακόβουλο σύνδεσμο ο οποίος οδηγεί στο αρχείο για την εγκατάσταση του ransomware. «Θεωρητικά μπορεί να προκύψουν άπειρες μολύνσεις, καθώς μάλιστα το κακόβουλο αυτό μήνυμα είναι διαθέσιμο σε 42 γλώσσες. Ευτυχώς, ακόμη και οι χρήστες που είναι λιγότερο υποψιασμένοι μπορούν να καταλάβουν ότι τα μηνύματα δεν είναι σωστά μεταφρασμένα και σε ορισμένες γλώσσες δεν φαίνεται να βγάζουν νόημα», σχολιάζει ο Lukáš Štefanko.
Εκτός από τον μη παραδοσιακό μηχανισμό εξάπλωσής του, το Android / Filecoder.C έχει μερικές ανωμαλίες στην κρυπτογράφηση του. Εξαιρεί μεγάλα αρχεία (πάνω από 50 MB) και μικρές εικόνες (κάτω από 150 kB), ενώ η λίστα με «τύπους αρχείων για κρυπτογράφηση» περιέχει πολλές καταχωρίσεις που δεν σχετίζονται με το Android, ενώ λείπουν μερικές από τις επεκτάσεις που είναι συνηθισμένες για Android. «Προφανώς, η λίστα έχει αντιγραφεί από το διαβόητο ransomware WannaCry», παρατηρεί ο Štefanko.
Υπάρχουν και άλλα ενδιαφέροντα στοιχεία για την ανορθόδοξη προσέγγιση που χρησιμοποίησαν οι προγραμματιστές αυτού του κακόβουλου λογισμικού. Σε αντίθεση με τα τυπικά ransomware για Android, το Android / Filecoder.C δεν εμποδίζει τον χρήστη να έχει πρόσβαση στη συσκευή κλείνοντας την οθόνη. Επιπλέον, δεν έχει οριστεί ένα συγκεκριμένο ποσό ως λύτρα. Αντίθετα, το ποσό που ζητούν οι εισβολείς σε αντάλλαγμα για την υπόσχεση της αποκρυπτογράφησης των αρχείων δημιουργείται δυναμικά χρησιμοποιώντας το UserID που έχει καθορίσει το ransomware για το συγκεκριμένο θύμα. Αυτή η διαδικασία έχει ως αποτέλεσμα το ποσό των λύτρων να είναι κάθε φορά μοναδικό, και να κυμαίνεται από 0,01-0,02 BTC.
«Το τέχνασμα με τα μοναδικά λύτρα είναι πρωτοφανές: δεν το έχουμε ξαναδεί σε κανένα ransomware που στοχεύει στο οικοσύστημα Android», λέει ο Štefanko. «Μάλλον στόχος είναι να ταυτοποιούνται οι πληρωμές ανά θύμα, κάτι που συνήθως επιλύεται δημιουργώντας ένα μοναδικό πορτοφόλι Bitcoin για κάθε κρυπτογραφημένη συσκευή. Σε αυτήν την καμπάνια, εντοπίσαμε να χρησιμοποιείται μόνο ένα πορτοφόλι Bitcoin».
Σύμφωνα με τον Lukáš Štefanko, οι χρήστες με συσκευές που προστατεύονται από το ESET Mobile Security δεν κινδυνεύουν από αυτήν την απειλή. «Λαμβάνουν ειδοποίηση σχετικά με τον κακόβουλο σύνδεσμο. Ακόμη κι αν αγνοήσουν την προειδοποίηση και κατεβάσουν την εφαρμογή, η λύση ασφαλείας θα την μπλοκάρει.»
Η συγκεκριμένη ανακάλυψη δείχνει ότι το ransomware εξακολουθεί να αποτελεί απειλή για τις κινητές συσκευές Android. Για να παραμείνουν ασφαλείς, οι χρήστες θα πρέπει να τηρούν τις βασικές αρχές ασφαλείας:
- Να κρατούν πάντα ενημερωμένες τις συσκευές τους, ιδανικά ρυθμίζοντας τις να ενημερώνονται αυτόματα.
- Είναι προτιμότερο να προτιμούν το Google Play ή άλλα αξιόπιστα καταστήματα εφαρμογών. Μπορεί κι εκεί να μην είναι απολύτως απαλλαγμένοι από κακόβουλες εφαρμογές, έχουν όμως περισσότερες πιθανότητες να τις αποφύγουν.
- Πριν από την εγκατάσταση οποιασδήποτε εφαρμογής, να ελέγχουν τις αξιολογήσεις και τις κριτικές, εστιάζοντας στα αρνητικά, καθώς συχνά προέρχονται από κανονικούς χρήστες, ενώ η θετική ανατροφοδότηση συχνά δημιουργείται από τους κυβερνοεγκληματίες.
- Να προσέχουν ειδικά τα δικαιώματα που ζητούνται από την εφαρμογή και να αποφεύγουν τη λήψη της, αν αυτά φαίνονται δυσανάλογα με τις λειτουργίες της εφαρμογής.
- Να χρησιμοποιούν μια αξιόπιστη λύση ασφάλειας για κινητά για να προστατεύουν τη συσκευή τους.