นักวิจัยของเธอ ESET พบแรนซัมแวร์ตระกูลใหม่โจมตี Android, ที่ Android / Filecoder.Cซึ่งใช้รายชื่อผู้ติดต่อของเหยื่อและพยายามกระจายไปทั่ว SMS ด้วยลิงก์ที่เป็นอันตราย
Τแรนซัมแวร์ตัวใหม่นี้กำลังแพร่กระจายบน Reddit ผ่านเนื้อหาลามกอนาจาร ESET ได้รายงานโปรไฟล์ที่เป็นอันตรายซึ่งใช้ในแคมเปญการแพร่กระจายของแรนซัมแวร์ แต่โปรไฟล์นั้นยังคงทำงานอยู่ ในช่วงเวลาสั้นๆ ที่แคมเปญได้ทำงานใน "นักพัฒนา XDA" ซึ่งเป็นฟอรัมสำหรับนักพัฒนา Android ตามรายงานของ ESET อาชญากรไซเบอร์ที่ปฏิบัติการแรนซัมแวร์ได้ลบโพสต์ที่เป็นอันตราย
Android / Filecoder.C ใช้สเปรดชีตที่น่าสนใจ ก่อนที่การเข้ารหัสไฟล์จะเริ่มต้น ข้อความหลายข้อความจะถูกส่งไปยังที่อยู่แต่ละรายการในรายชื่อผู้ติดต่อของเหยื่อ โดยแจ้งให้ผู้รับคลิกลิงก์ที่เป็นอันตรายซึ่งนำไปสู่ไฟล์การติดตั้งแรนซัมแวร์ "ในทางทฤษฎี การติดไวรัสไม่รู้จบสามารถเกิดขึ้นได้ เนื่องจากข้อความที่เป็นอันตรายนี้มีให้บริการใน 42 ภาษา โชคดีที่แม้แต่ผู้ใช้ที่น่าสงสัยน้อยที่สุดก็สามารถเข้าใจได้ว่าข้อความไม่ได้รับการแปลอย่างถูกต้องและในบางภาษาดูเหมือนจะไม่สมเหตุสมผล "Lukáš Štefanko หัวหน้าฝ่ายวิจัยกล่าว
นอกเหนือจากกลไกการปรับใช้ที่ไม่ใช่แบบดั้งเดิมแล้ว Android / Filecoder.C ยังมีความผิดปกติบางประการในการเข้ารหัส ไม่รวมไฟล์ขนาดใหญ่ (มากกว่า 50 MB) และรูปภาพขนาดเล็ก (ต่ำกว่า 150 kB) ในขณะที่รายการ "ประเภทไฟล์สำหรับการเข้ารหัส" มีรายการจำนวนมากที่ไม่เกี่ยวข้องกับ Android ในขณะที่ส่วนขยายบางส่วนที่ใช้กันทั่วไปสำหรับ Android หายไป "เห็นได้ชัดว่ารายชื่อนี้คัดลอกมาจากแรนซัมแวร์ WannaCry ที่น่าอับอาย" Štefanko กล่าว
มีข้อเท็จจริงที่น่าสนใจอื่นๆ เกี่ยวกับวิธีการนอกรีตที่นักพัฒนาซอฟต์แวร์มัลแวร์ใช้ ต่างจากแรนซัมแวร์มาตรฐานสำหรับ Android ตรงที่ Android / Filecoder.C ไม่ได้ป้องกันผู้ใช้จากการเข้าถึงอุปกรณ์โดยการปิดหน้าจอ นอกจากนี้ ยังไม่มีการกำหนดจำนวนเงินที่เฉพาะเจาะจงเป็นค่าไถ่ ในทางกลับกัน จำนวนเงินที่ผู้โจมตีขอเพื่อแลกกับคำสัญญาว่าจะถอดรหัสไฟล์นั้นสร้างขึ้นแบบไดนามิกโดยใช้ UserID ที่แรนซัมแวร์ระบุไว้สำหรับเหยื่อรายนั้น กระบวนการนี้ส่งผลให้จำนวนเงินค่าไถ่ไม่ซ้ำกันในแต่ละครั้ง ตั้งแต่ 0,01-0,02 BTC
«เคล็ดลับของค่าไถ่ที่ไม่เหมือนใครนั้นไม่เคยเกิดขึ้นมาก่อน: เราไม่เคยเห็นมันในแรนซัมแวร์ใด ๆ ที่กำหนดเป้าหมายไปที่ระบบนิเวศของ Android" ฟเตฟานโก้กล่าว «เป้าหมายคือการระบุการชำระเงินต่อเหยื่อ ซึ่งมักจะแก้ไขได้โดยการสร้างกระเป๋าเงิน Bitcoin ที่ไม่ซ้ำกันสำหรับอุปกรณ์ที่เข้ารหัสแต่ละเครื่อง ในแคมเปญนี้ เราตรวจพบว่ามีการใช้กระเป๋าเงิน Bitcoin เพียงใบเดียว'
จากข้อมูลของ Lukáš ftefanko ผู้ใช้ที่มีอุปกรณ์ป้องกันโดย ESET Mobile Security จะไม่มีความเสี่ยงจากภัยคุกคามนี้ «พวกเขาได้รับการแจ้งเตือนเกี่ยวกับลิงก์ที่เป็นอันตราย แม้ว่าพวกเขาจะเพิกเฉยต่อคำเตือนและดาวน์โหลดแอปพลิเคชัน โซลูชันความปลอดภัยจะบล็อกมัน'
[the_ad_group id =” 966″]Μอย่าลืมเข้าร่วม (ลงทะเบียน) ในฟอรั่มของเราซึ่งสามารถทำได้ง่ายมากโดยปุ่มต่อไปนี้...
(ถ้าคุณมีบัญชีอยู่แล้วในฟอรั่มของเรา คุณไม่จำเป็นต้องไปตามลิงค์ลงทะเบียน)
ติดตามเราทางโทรเลข!
