Nieuwe ransomware maakt gebruik van eenvoudige sms-berichten op Google Android OS en verspreidt zich vervolgens agressief naar opgeslagen contacten met behulp van de foto van het slachtoffer

Een nieuwe ransomware voor mobiele apparaten is online opgedoken. Het muterende en evoluerende digitale virus richt zich op smartphones met het Android-besturingssysteem van Google. De malware probeert toegang te krijgen via een eenvoudig maar slim verhuld sms-bericht en graaft vervolgens diep in het interne systeem van de mobiele telefoon. Naast het vasthouden van kritische en gevoelige gijzelaars, probeert de nieuwe worm zich agressief te verspreiden naar andere slachtoffers via de communicatieplatforms van de gecompromitteerde smartphone. De nieuwe familie van ransomware markeert een belangrijke maar zorgwekkende mijlpaal in het Android-besturingssysteem van Google, dat steeds meer als relatief veilig werd beschouwd voor gerichte cyberaanvallen.

Cyberbeveiligingsprofessionals die werken voor de populaire antivirus-, firewall- en andere digitale beveiligingstools-ontwikkelaar ESET, ontdekten een nieuwe familie van ransomware die is ontworpen om het mobiele Android-besturingssysteem van Google aan te vallen. Het digitale paard van Troje gebruikt sms-berichten om zich te verspreiden, merkten de onderzoekers op. ESET-onderzoekers hebben de nieuwe malware Android/Filecoder.C genoemd en hebben een verhoogde activiteit van dezelfde malware waargenomen. De ransomware lijkt overigens vrij nieuw, maar markeert het einde van een twee jaar durende daling van nieuwe Android-malwaredetecties. Simpel gezegd, het lijkt erop dat hackers hernieuwde interesse lijken te hebben in het targeten van besturingssystemen voor smartphones. Vandaag hebben we gerapporteerd over meerdere "Zero Interaction" beveiligingskwetsbaarheden die zijn ontdekt in het Apple iPhone iOS-besturingssysteem.

Filecoder actief sinds juli 2019 maar verspreidt zich snel en agressief door slimme social engineering

Volgens het Slowaakse antivirus- en cyberbeveiligingsbedrijf is Filecoder zeer recent in het wild waargenomen. ESET-onderzoekers beweren dat ze de ransomware actief hebben verspreid sinds 12 juli 2019. Simpel gezegd, de malware lijkt minder dan een maand geleden te zijn opgedoken, maar de impact kan elke dag toenemen.

Het virus is vooral interessant omdat de aanvallen op het Android-besturingssysteem van Google al zo'n twee jaar gestaag afnemen. Dit leidde tot een algemene perceptie dat Android grotendeels immuun was voor virussen of dat hackers niet specifiek achter smartphones aan gingen, maar zich in plaats daarvan richtten op desktopcomputers of andere hardware en elektronica. Smartphones zijn vrij persoonlijke apparaten en daarom kunnen ze worden beschouwd als beperkte potentiële doelen in vergelijking met apparaten die in bedrijven en organisaties worden gebruikt. Het richten op pc's of elektronische apparaten in zulke grote omgevingen heeft verschillende potentiële voordelen, aangezien een gecompromitteerde machine een snelle manier kan zijn om verschillende andere apparaten in gevaar te brengen. Dan is het een kwestie van informatie analyseren om gevoelige informatie eruit te pikken. Overigens blijken meerdere hackgroepen gericht op het uitvoeren van grootschalige spionageaanvallen.

De nieuwe ransomware daarentegen probeert alleen de eigenaar van de Android-smartphone te beperken tot toegang tot persoonlijke informatie. Er zijn geen aanwijzingen dat de malware probeert persoonlijke of gevoelige informatie te lekken of te stelen of andere payloads zoals keyloggers of activity trackers te installeren om toegang te krijgen tot financiële informatie.

Hoe verspreidt Filecoder Ransomware zich op het Google Android-besturingssysteem?

Onderzoekers hebben ontdekt dat de Filecoder-ransomware zich verspreidt via het Android-berichten- of sms-systeem, maar de oorsprong ligt ergens anders. Het virus lijkt te worden gelanceerd via kwaadaardige berichten op online forums, waaronder Reddit en het Android-ontwikkelaarsbord XDA Developers. Nadat ESET op de kwaadaardige berichten had gewezen, ondernamen XDA Developers snel actie en verwijderden ze de verdachte media, maar de twijfelachtige inhoud was nog steeds actief op het moment van publicatie op Reddit.

De meeste kwaadaardige berichten en opmerkingen die door ESET worden gevonden, proberen slachtoffers te verleiden de malware te downloaden. Het virus trekt het slachtoffer binnen door de inhoud na te bootsen die gewoonlijk wordt geassocieerd met pornografisch materiaal. In sommige gevallen zagen de onderzoekers ook dat enkele technische onderwerpen als lokaas werden gebruikt. In de meeste gevallen bevatten de aanvallers echter links of QR-codes die naar de schadelijke apps verwijzen.

Om onmiddellijke detectie te voorkomen voordat ze worden geopend, worden de links van de malware gemaskeerd als bit.ly-links. In het verleden zijn verschillende van dergelijke sites voor het inkorten van links gebruikt om nietsvermoedende internetgebruikers naar kwaadaardige websites te leiden, phishing en andere cyberaanvallen uit te voeren.

Zodra de Filecoder-ransomware zich stevig in het Android-mobiele apparaat van het slachtoffer heeft genesteld, begint het niet meteen met het vergrendelen van de gebruikersinformatie. In plaats daarvan plundert de malware eerst de contacten van het Android-systeem. Onderzoekers observeerden interessant maar verontrustend agressief gedrag van de Filecoder-ransomware. In wezen doorzoekt de malware snel maar grondig de lijst met contactpersonen van het slachtoffer om zichzelf te verspreiden.

De malware probeert een zorgvuldig geformuleerd automatisch gegenereerd sms-bericht te sturen naar elk item in de contactenlijst van het mobiele Android-apparaat. Om de kans te vergroten dat potentiële slachtoffers op de ransomware klikken en deze downloaden, gebruikt het Filecoder-virus een interessante truc. De link in het besmette sms-bericht wordt geadverteerd als een app. Wat nog belangrijker is, de malware zorgt ervoor dat het bericht de profielfoto van het potentiële slachtoffer bevat. Bovendien is de foto zorgvuldig gepositioneerd om in een app te passen die het slachtoffer al gebruikt. In werkelijkheid is het een kwaadaardige nep-app die de ransomware herbergt.

Nog zorgwekkender is het feit dat de Filecoder-ransomware is gecodeerd om meertalig te zijn. Met andere woorden, afhankelijk van de taalinstelling van het geïnfecteerde apparaat, kunnen de berichten worden verzonden in een van de 42 mogelijke taalversies. De malware voegt ook automatisch de naam van de contactpersoon in het bericht in om de waargenomen authenticiteit te vergroten.

Hoe infecteert en werkt de Filecoder Ransomware?

De links die de malware heeft gegenereerd, bevatten meestal een app die probeert slachtoffers te lokken. Het echte doel van de nep-app is om discreet op de achtergrond te draaien. Deze app bevat hardcoded command-and-control (C2) instellingen, evenals Bitcoin-portemonnee-adressen, in de broncode. De aanvallers hebben ook gebruik gemaakt van het populaire online platform voor het delen van notities, Pastebin, maar het dient alleen als kanaal voor dynamisch ophalen en mogelijk verdere infectiepunten.

Nadat de Filecoder-ransomware met succes de besmette sms in batches heeft verzonden en de taak heeft voltooid, scant het vervolgens het geïnfecteerde apparaat om alle opslagbestanden te vinden en versleutelt het de meeste ervan. Onderzoekers van ESET hebben ontdekt dat de malware alle soorten bestandsextensies versleutelt die vaak worden gebruikt voor tekstbestanden, afbeeldingen, video's, enz. Maar om de een of andere reden blijven Android-specifieke bestanden zoals .apk of .dex achter. De malware maakt ook geen gebruik van gecomprimeerde .Zip- en .RAR-bestanden en bestanden die groter zijn dan 50 MB. De onderzoekers vermoeden dat de makers van malware een slechte copy-paste job hebben gedaan door inhoud van WannaCry, een veel ernstigere en productievere vorm van ransomware, te verwijderen. Aan alle versleutelde bestanden is de extensie ".seven" toegevoegd

Na het succesvol versleutelen van de bestanden op het mobiele Android-apparaat, flitst de ransomware vervolgens een typische losgeldbrief met eisen. Onderzoekers hebben gemerkt dat de Filecoder-ransomware eisen stelt van ongeveer $ 98 tot $ 188 aan cryptocurrency. Om een ​​gevoel van urgentie te creëren, heeft de malware ook een eenvoudige timer die ongeveer 3 dagen of 72 uur duurt. Het losgeldbriefje vermeldt ook hoeveel bestanden het gegijzeld houdt.

Interessant is dat ransomware het scherm van het apparaat niet vergrendelt of het gebruik van een smartphone verhindert. Met andere woorden, slachtoffers kunnen nog steeds hun Android-smartphone gebruiken, maar hebben geen toegang tot hun gegevens. Bovendien, zelfs als de slachtoffers op de een of andere manier de kwaadaardige of verdachte app verwijderen, worden de wijzigingen niet ongedaan gemaakt of de bestanden gedecodeerd. Filecoder genereert een openbaar en privé sleutelpaar bij het versleutelen van de inhoud van een apparaat. De openbare sleutel is versleuteld met een krachtig RSA-1024-algoritme en een hardcoded waarde die naar de makers wordt verzonden. Nadat het slachtoffer via de verstrekte Bitcoin-gegevens heeft betaald, kan de aanvaller de privésleutel decoderen en aan het slachtoffer vrijgeven.

Filecoder is niet alleen agressief, maar ook complex om weg te komen:

ESET-onderzoekers hadden eerder gemeld dat hardgecodeerde sleutelwaarde kan worden gebruikt om bestanden te decoderen zonder de chantagekosten te betalen door "het coderingsalgoritme te veranderen in een decoderingsalgoritme". Kortom, de onderzoekers waren van mening dat de makers van de Filecoder-ransomware per ongeluk een vrij eenvoudige methode hadden achtergelaten om een ​​decrypter te maken.

“Vanwege de beperkte targeting en fouten in zowel de uitvoering van de campagne als de implementatie van de encryptie, is de impact van deze nieuwe ransomware beperkt. Als de ontwikkelaars echter de fouten oplossen en de operators zich richten op bredere groepen gebruikers, kan de Android/Filecoder.C-ransomware een serieuze bedreiging worden.”

De onderzoekers hebben hun bericht over de Filecoder-ransomware bijgewerkt en verduidelijkt dat "deze 'hardcoded key' een openbare RSA-1024-sleutel is, die niet gemakkelijk kan worden verbroken, waardoor het maken van een decryptor voor deze specifieke ransomware bijna onmogelijk is."

Vreemd genoeg merkten de onderzoekers ook op dat er niets in de code van de ransomware is om de bewering te ondersteunen dat de getroffen gegevens verloren gaan nadat de afteltimer is afgelopen. Bovendien lijken de makers van de malware te spelen met het losgeldbedrag. Hoewel de 0.01 Bitcoin of BTC standaard blijft, lijken de volgende nummers de gebruikers-ID te zijn die door de malware is gegenereerd. Onderzoekers vermoeden dat deze methode kan dienen als authenticatiefactor om de inkomende betalingen te matchen met het slachtoffer om de decoderingssleutel te genereren en te verzenden.

Facebook Twitter Google Plus Pinterest