Новая программа-вымогатель для Android использует SMS-спам для заражения своих жертв

Новое семейство программ-вымогателей, нацеленных на устройства Android, распространяется среди других жертв путем отправки текстовых сообщений, содержащих вредоносные ссылки, на весь список контактов, обнаруженных на уже зараженных объектах.

Вредоносная программа получила название Android / Filecoder.C (FileCoder) от исследовательской группы ESET, которая обнаружила, что в настоящее время нацелена на устройства под управлением Android 5.1 или более поздней версии.

«Из-за узкого таргетинга и недостатков как в проведении кампании, так и в реализации ее шифрования, влияние этой новой программы-вымогателя ограничено», – обнаружили исследователи ESET.

«После того, как вымогатель отправляет этот пакет вредоносных SMS-сообщений, он шифрует большинство пользовательских файлов на устройстве и запрашивает выкуп. Из-за некорректного шифрования можно расшифровать затронутые файлы без какой-либо помощи со стороны злоумышленника», – добавляет ESET.

Несмотря на это, если разработчикам вымогателей удастся исправить свой «продукт», многие пользователи Android могут столкнуться с очень опасным и потенциально очень разрушительным штаммом вредоносного ПО.

Вектор заражения SMS-вымогателями

FileCoder впервые был замечен компанией ESET во время кампании, охватывающей еще 12 июля, когда злоумышленники распространяли свою вредоносную нагрузку через сообщения, сделанные на Reddit и в сообществе разработчиков мобильного программного обеспечения XDA Developers.

Хотя XDA удалило вредоносные сообщения после получения уведомления, обсуждения Reddit все еще продолжались в то время, когда исследователь вредоносных программ ESET Лукас Стефанко опубликовал анализ вредоносных программ FileCoder.

Разработчики FileCoder используют два сервера для распространения программы-вымогателя, при этом вредоносные полезные нагрузки связаны как с вредоносными текстовыми сообщениями, отправленными на весь список контактов жертв, так и с сообщениями на форумах Reddit и XDA.

Образцы программ-вымогателей также связаны с помощью QR-кодов, которые позволят мобильным пользователям быстрее получить вредоносные APK-файлы на свои устройства и установить их на свои устройства.

В качестве приманки, чтобы убедить потенциальных жертв установить зараженные приложения для Android на свои устройства, операторы FileCoder заявили, что приложение «предположительно использует фотографии потенциальной жертвы».

Тем не менее, сообщения форума Reddit и XDA «продвигают» вредоносное приложение как бесплатную онлайн-игру-симулятор секса, что также должно снизить бдительность потенциальных целей настолько, чтобы заставить их загрузить и установить на свои устройства приложение, зараженное программами-вымогателями.

Как обнаружил BleepingComputer при анализе образца FileCoder, при установке на Android-устройство жертвы вредоносная программа запрашивает следующие разрешения:

android.permission.SET_WALLPAPER
android.permission.WRITE_EXTERNAL_STORAGE
android.permission.READ_EXTERNAL_STORAGE
android.permission.READ_CONTACTS
android.permission.RECEIVE_BOOT_COMPLETED
android.permission.SEND_SMS
android.permission.INTERNET

“Чтобы максимально расширить охват, программа-вымогатель имеет 42 языковые версии шаблона сообщения […]. Перед отправкой сообщений она выбирает версию, которая соответствует языковой настройке устройства жертвы. Чтобы персонализировать эти сообщения, вредоносная программа добавляет в список имя им, “найден ESET.

Программа-вымогатель FileCoder запрашивает у своих жертв программу-вымогатель Биткойн, при этом адреса Биткойн и сервер управления и контроля (C2) жестко запрограммированы в исходном коде вредоносной программы, но с возможностью отправки новых адресов через службу Pastebin.

FileCoder будет распространяться в список контактов жертвы через SMS перед тем, как начать шифрование файлов во всех папках в хранилище устройства, к которым он может получить доступ, добавляя расширение .seven к исходным именам файлов – системные файлы будут пропущены.

«Программа-вымогатель также оставляет файлы незашифрованными, если расширение файла -« .zip »или« .rar », а размер файла превышает 51 200 КБ / 50 МБ, а также файлы« .jpeg »,« .jpg »и« .png »с размер файла менее 150 КБ », – добавляет ESET.

Вредоносная программа будет шифровать странное сочетание типов файлов, специфичных для Android, а также странную комбинацию несвязанных типов документов. Исследовательская группа ESET пришла к выводу, что «список был скопирован с печально известного вымогателя WannaCryptor, также известного как WannaCry».

Серверы FileCoder C2 все еще активны

После того, как все файлы будут заблокированы вредоносной программой, она отобразит записку о выкупе с подробным описанием количества зашифрованных файлов и времени, в течение которого жертва должна заплатить стоимость ключа дешифрования – сумма выкупа варьируется от 94 до 188 долларов.

Хотя в записке с требованием выкупа говорится, что данные будут потеряны, если выкуп не будет уплачен в течение трех дней, «в коде вымогателя нет ничего, подтверждающего утверждение о том, что затронутые данные будут потеряны через 72 часа».

В отличие от большинства других штаммов программ-вымогателей Android, FileCoder не блокирует экраны жертв и позволяет им продолжать использовать свои устройства, в зависимости только от того факта, что его жертвы захотят, чтобы их файлы были расшифрованы как можно скорее.

FileCoder шифрует файлы, используя новые ключи AES для каждого из файлов, которые он блокирует, используя пару открытого и закрытого ключей, причем последний шифруется с помощью алгоритма RSA.

Однако, поскольку разработчики программы-вымогателя жестко запрограммировали значение, используемое для шифрования закрытого ключа в коде вредоносной программы, жертвы могут расшифровать свои данные, не платя выкуп.

«Все, что требуется, – это идентификатор пользователя [..], предоставленный программой-вымогателем, и APK-файл программы-вымогателя на случай, если его авторы изменят жестко запрограммированное значение ключа», – обнаружили исследователи ESET.

На момент публикации этой истории серверы, используемые авторами FileCoder, все еще были в сети, а страница подтверждения оплаты выкупа также была доступна через один из файлов, размещенных на серверах C2 вредоносной программы.

На странице подтверждения платежа жертвам также предоставляется «электронная почта поддержки», позволяющая им обратиться за помощью в случае возникновения каких-либо проблем: «Если у вас есть вопросы, свяжитесь с нами. Наш адрес электронной почты: h3athledger@yandex.ru».

Более подробная информация о внутренней работе вымогателя Android / Filecoder.C вместе со списком индикаторов взлома (IOC), включая хэши образцов вредоносных программ и биткойн-адрес, используемый в кампании, доступны в конце анализа вредоносных программ Filecoder Стефанко.

Источник

Оставьте комментарий