Ses chercheurs ESET découvert une nouvelle famille de ransomwares attaquant Android, la Android / Filecoder.C, qui utilise la liste de contacts des victimes et essaie de se propager davantage à travers SMS avec des liens malveillants.
Τce nouveau ransomware se répand sur Reddit à travers du contenu pornographique. ESET a signalé le profil malveillant utilisé dans la campagne de propagation du ransomware, mais il est toujours actif. Pendant une courte période, la campagne s'était également déroulée sur « XDA developer », un forum pour les développeurs Android. Selon le rapport ESET, les cybercriminels utilisant des ransomwares ont supprimé les messages malveillants.
Android / Filecoder.C utilise des feuilles de calcul intéressantes. Avant le début du cryptage des fichiers, plusieurs messages texte sont envoyés à chaque adresse de la liste de contacts de la victime, invitant les destinataires à cliquer sur un lien malveillant menant au fichier d'installation du ransomware. "Théoriquement, des infections sans fin peuvent se produire, car ce message malveillant est disponible en 42 langues. Heureusement, même les utilisateurs les moins méfiants peuvent comprendre que les messages ne sont pas correctement traduits et dans certaines langues ne semblent pas avoir de sens », a déclaré Lukáš Štefanko, responsable de la recherche.
En plus de son mécanisme de tableur non traditionnel, Android / Filecoder.C présente quelques anomalies dans son cryptage. Exclut les gros fichiers (plus de 50 Mo) et les petites images (moins de 150 Ko), tandis que la liste des "types de fichiers pour le cryptage" contient de nombreuses entrées qui ne sont pas liées à Android, tandis que certaines des extensions courantes pour Android sont manquantes. "De toute évidence, la liste a été copiée à partir du tristement célèbre ransomware WannaCry", note tefanko.
Il existe d'autres faits intéressants sur l'approche peu orthodoxe utilisée par les développeurs de ce malware. Contrairement au ransomware standard pour Android, Android / Filecoder.C n'empêche pas l'utilisateur d'accéder à l'appareil en fermant l'écran. De plus, aucun montant précis n'a été fixé comme rançon. Au lieu de cela, le montant que les attaquants demandent en échange de la promesse de déchiffrer les fichiers est généré dynamiquement à l'aide de l'ID utilisateur que le ransomware a spécifié pour cette victime. Ce processus fait que le montant de la rançon est unique à chaque fois, allant de 0,01 à 0,02 BTC.
«L'astuce avec la rançon unique est sans précédent : nous ne l'avons jamais vue dans aucun ransomware ciblant l'écosystème Android", Dit ftefanko. «L'objectif est plutôt d'identifier les paiements par victime, ce qui est généralement résolu en créant un portefeuille Bitcoin unique pour chaque appareil crypté. Dans cette campagne, nous avons détecté qu'un seul portefeuille Bitcoin était utilisé».
Selon Lukáš ftefanko, les utilisateurs d'appareils protégés par ESET Mobile Security ne sont pas exposés à cette menace. «Ils reçoivent une notification sur un lien malveillant. Même s'ils ignorent l'avertissement et téléchargent l'application, la solution de sécurité la bloquera».
[the_ad_group id = "966"]