Các nhà nghiên cứu của cô ấy ESET phát hiện ra một nhóm ransomware mới đang tấn công Android, các Android / Filecodec.C, sử dụng danh sách liên hệ của nạn nhân và cố gắng phát tán xa hơn thông qua SMS với các liên kết độc hại.
Τransomware mới này đang phát tán trên Reddit thông qua nội dung khiêu dâm. ESET đã báo cáo hồ sơ độc hại được sử dụng trong chiến dịch lây lan ransomware, nhưng nó vẫn đang hoạt động. Trong một thời gian ngắn, chiến dịch cũng đã chạy trên "XDA Developers", một diễn đàn dành cho các nhà phát triển Android. Theo báo cáo của ESET, tội phạm mạng điều hành ransomware đã xóa các bài đăng độc hại.
Android / Filecoder.C sử dụng các bảng tính thú vị. Trước khi quá trình mã hóa tệp bắt đầu, nhiều tin nhắn văn bản được gửi đến từng địa chỉ trong danh sách liên hệ của nạn nhân, khiến người nhận nhấp vào liên kết độc hại dẫn đến tệp cài đặt ransomware. "Về mặt lý thuyết, vô số lần lây nhiễm có thể xảy ra, vì thông điệp độc hại này có sẵn bằng 42 ngôn ngữ. May mắn thay, ngay cả những người dùng ít nghi ngờ nhất cũng có thể hiểu rằng các thông điệp không được dịch đúng cách và ở một số ngôn ngữ dường như không có ý nghĩa ", Lukáš Štefanko, trưởng nhóm nghiên cứu, cho biết.
Ngoài cơ chế triển khai phi truyền thống, Android / Filecoder.C có một số điểm bất thường trong mã hóa của nó. Không bao gồm các tệp lớn (trên 50 MB) và hình ảnh nhỏ (dưới 150 kB), trong khi danh sách "loại tệp để mã hóa" chứa nhiều mục nhập không liên quan đến Android, trong khi thiếu một số tiện ích mở rộng phổ biến cho Android. "Rõ ràng, danh sách đã được sao chép từ phần mềm tống tiền nổi tiếng WannaCry", Štefanko lưu ý.
Có những sự thật thú vị khác về cách tiếp cận không chính thống được các nhà phát triển phần mềm độc hại này sử dụng. Không giống như ransomware tiêu chuẩn cho Android, Android / Filecoder.C không ngăn người dùng truy cập thiết bị bằng cách đóng màn hình. Ngoài ra, không có số tiền cụ thể nào được đặt làm tiền chuộc. Thay vào đó, số tiền mà những kẻ tấn công yêu cầu để đổi lấy lời hứa giải mã các tệp được tạo động bằng UserID mà ransomware đã chỉ định cho nạn nhân đó. Quá trình này dẫn đến số tiền chuộc mỗi lần là duy nhất, dao động từ 0,01-0,02 BTC.
«Thủ đoạn với tiền chuộc độc đáo chưa từng có: chúng tôi chưa từng thấy nó trong bất kỳ phần mềm tống tiền nào nhắm mục tiêu đến hệ sinh thái Android", Ftefanko nói. «Thay vào đó, mục tiêu là xác định các khoản thanh toán cho mỗi nạn nhân, điều này thường được giải quyết bằng cách tạo một ví Bitcoin duy nhất cho mỗi thiết bị được mã hóa. Trong chiến dịch này, chúng tôi đã phát hiện ra rằng chỉ có một ví Bitcoin được sử dụng'.
Theo Lukáš ftefanko, người dùng có thiết bị được ESET Mobile Security bảo vệ không gặp rủi ro từ mối đe dọa này. «Họ nhận được thông báo về liên kết độc hại. Ngay cả khi họ bỏ qua cảnh báo và tải xuống ứng dụng, giải pháp bảo mật sẽ chặn nó'.
[the_ad_group id = ”966 ″]ΜĐừng quên tham gia (đăng ký) trong diễn đàn của chúng tôi, điều này có thể được thực hiện rất dễ dàng bằng nút sau…
(Nếu bạn đã có tài khoản trong diễn đàn của chúng tôi, bạn không cần phải theo liên kết đăng ký)
Tham gia cộng đồng của chúng tôi
Theo dõi chúng tôi trên Telegram!
