Ihre Forscher ESET entdeckte eine neue Familie von Ransomware-Angriffen Android, das Android / Filecoder.C, das die Kontaktliste der Opfer nutzt und versucht, sich weiter zu verbreiten SMS mit schädlichen Links.
ΤDiese neue Ransomware verbreitet sich auf Reddit durch pornografische Inhalte. ESET hat das bösartige Profil gemeldet, das in der Kampagne zur Verbreitung von Ransomware verwendet wurde, aber es ist immer noch aktiv. Für kurze Zeit lief die Kampagne auch auf "XDA Developers", einem Forum für Android-Entwickler. Laut dem ESET-Bericht haben Cyberkriminelle, die Ransomware betreiben, die schädlichen Posts entfernt.
Android / Filecoder.C verwendet interessante Tabellenkalkulationen. Bevor die Dateiverschlüsselung beginnt, werden an jede Adresse in der Kontaktliste des Opfers mehrere Textnachrichten gesendet, die die Empfänger auffordern, auf einen schädlichen Link zu klicken, der zur Installationsdatei der Ransomware führt. "Theoretisch können endlose Infektionen auftreten, da diese bösartige Nachricht in 42 Sprachen verfügbar ist. Glücklicherweise können selbst die am wenigsten misstrauischen Nutzer verstehen, dass die Nachrichten nicht richtig übersetzt sind und in manchen Sprachen keinen Sinn ergeben“, sagte Forschungsleiter Lukáš Štefanko.
Zusätzlich zu seinem nicht-traditionellen Bereitstellungsmechanismus weist Android / Filecoder.C einige Anomalien in der Verschlüsselung auf. Ausgeschlossen sind große Dateien (über 50 MB) und kleine Bilder (unter 150 kB), während die Liste der "Dateitypen für die Verschlüsselung" viele Einträge enthält, die nichts mit Android zu tun haben, während einige der für Android üblichen Erweiterungen fehlen. "Offensichtlich wurde die Liste von der berüchtigten Ransomware WannaCry kopiert", bemerkt Štefanko.
Es gibt noch weitere interessante Fakten über den unorthodoxen Ansatz der Entwickler dieser Malware. Im Gegensatz zur Standard-Ransomware für Android verhindert Android / Filecoder.C nicht, dass der Benutzer durch Schließen des Bildschirms auf das Gerät zugreift. Darüber hinaus wurde kein bestimmter Betrag als Lösegeld festgelegt. Stattdessen wird der Betrag, den Angreifer im Austausch für das Versprechen, die Dateien zu entschlüsseln, verlangen, dynamisch mithilfe der Benutzer-ID generiert, die die Ransomware für das Opfer festgelegt hat. Dieser Prozess führt dazu, dass der Lösegeldbetrag jedes Mal einzigartig ist und zwischen 0,01 und 0,02 BTC liegt.
«Der Trick mit dem einzigartigen Lösegeld ist beispiellos: Wir haben es noch nie bei einer Ransomware gesehen, die auf das Android-Ökosystem abzielt“, Sagt ftefanko. «Vielmehr besteht das Ziel darin, Zahlungen pro Opfer zu identifizieren, was normalerweise dadurch gelöst wird, dass für jedes verschlüsselte Gerät eine einzigartige Bitcoin-Wallet erstellt wird. In dieser Kampagne haben wir festgestellt, dass nur eine Bitcoin-Wallet verwendet wurde".
Laut Lukáš ftefanko sind Benutzer mit Geräten, die durch ESET Mobile Security geschützt sind, von dieser Bedrohung nicht gefährdet. «Sie erhalten eine Benachrichtigung über einen schädlichen Link. Selbst wenn sie die Warnung ignorieren und die Anwendung herunterladen, wird die Sicherheitslösung sie blockieren".
[the_ad_group id = ”966 ″]ΜVergessen Sie nicht, unserem Forum beizutreten (zu registrieren), was ganz einfach über den folgenden Button möglich ist…
(Wenn Sie bereits ein Konto in unserem Forum haben, müssen Sie dem Registrierungslink nicht folgen)
Tritt unserer Gemeinschaft bei
Folgen Sie uns auf Telegram!
