Google Android
Een nieuwe ransomware voor mobiele apparaten is online opgedoken. Het muterende en evoluerende digitale virus is gericht op smartphones met het Android-besturingssysteem van Google. De malware probeert toegang te krijgen via een eenvoudig maar slim vermomd sms-bericht en graaft vervolgens diep in het interne systeem van de mobiele telefoon. Naast het houden van kritische en gevoelige gijzelaars, probeert de nieuwe worm zich agressief te verspreiden naar andere slachtoffers via de gecompromitteerde smartphone-communicatieplatforms. De nieuwe familie van ransomware markeert een belangrijke maar zorgwekkende mijlpaal in het Android-besturingssysteem van Google, dat in toenemende mate als relatief veilig werd beschouwd voor gerichte cyberaanvallen.
Cyberbeveiligingsprofessionals die werken voor de populaire ontwikkelaar van antivirus-, firewall- en andere digitale beveiligingstools ESET, ontdekten een nieuwe reeks ransomware die is ontworpen om het mobiele Android-besturingssysteem van Google aan te vallen. Het digitale Trojaanse paard gebruikt sms-berichten om zich te verspreiden, merkten de onderzoekers op. ESET-onderzoekers hebben de nieuwe malware de naam Android / Filecoder.C gegeven, en hebben een verhoogde activiteit hiervan waargenomen. Overigens lijkt de ransomware vrij nieuw te zijn, maar het luidt het einde in van een tweejarige daling van het aantal nieuwe Android-malwaredetecties. Simpel gezegd, het lijkt erop dat hackers hernieuwde interesse lijken te hebben in het richten op besturingssystemen van smartphones. Vandaag hebben we gerapporteerd over meerdere 'Zero Interaction' beveiligingslekken die werden ontdekt in het Apple iPhone iOS-besturingssysteem .
Filecoder actief sinds juli 2019, maar verspreidt zich snel en agressief door slimme social engineering
Volgens het Slowaakse antivirus- en cyberbeveiligingsbedrijf is Filecoder zeer recent in het wild waargenomen. ESET-onderzoekers beweren dat ze hebben gemerkt dat de ransomware zich actief verspreidde sinds 12 juli 2019. Simpel gezegd, de malware lijkt minder dan een maand geleden opgedoken te zijn, maar de impact ervan kan elke dag toenemen.
Het virus is vooral interessant omdat aanvallen op het Android-besturingssysteem van Google al ongeveer twee jaar gestaag afnemen. Dit zorgde voor een algemene perceptie dat Android grotendeels immuun was voor virussen of dat hackers niet specifiek achter smartphones aan gingen, maar zich in plaats daarvan op desktopcomputers of andere hardware en elektronica richtten. Smartphones zijn vrij persoonlijke apparaten en daarom kunnen ze worden beschouwd als beperkte potentiële doelwitten in vergelijking met apparaten die in bedrijven en organisaties worden gebruikt. Het richten op pc's of elektronische apparaten in zulke grote instellingen heeft verschillende potentiële voordelen, aangezien een gecompromitteerde machine een snelle manier kan bieden om verschillende andere apparaten in gevaar te brengen. Dan is het een kwestie van informatie analyseren om gevoelige informatie eruit te halen. Overigens blijken meerdere hackersgroepen te hebben draaide om het uitvoeren van grootschalige spionage-aanvallen .
VEILIGHEIDSWAARSCHUWING: Android Ransomware FileCoder Strain komt naar voren: een nieuwe soort ransomware is opgedoken op Android #mobiel apparaten. Het is gericht op degenen die het besturingssysteem Android 5.1 en hoger gebruiken. Deze Android-ransomware-soort is genoemd door ... https://t.co/edFpo45qbp pic.twitter.com/9r39kxS5iB
- Aquia Solutions (@AquiaSolutions) 30 juli 2019
De nieuwe ransomware daarentegen, probeert alleen de eigenaar van de Android-smartphone de toegang tot persoonlijke informatie te beperken. Er zijn geen aanwijzingen dat de malware probeert persoonlijke of gevoelige informatie te lekken of te stelen of andere payloads zoals keyloggers of activiteitstrackers te installeren om toegang te krijgen tot financiële informatie.
Hoe verspreidt Filecoder Ransomware zich over het Google Android-besturingssysteem?
Onderzoekers hebben ontdekt dat de Filecoder-ransomware zich verspreidt via Android-berichten of sms-systemen, maar de oorsprong ligt ergens anders. Het virus lijkt te worden gelanceerd via kwaadaardige berichten op online forums, waaronder Reddit en het Android-ontwikkelaarsbord XDA Developers. Nadat ESET op de kwaadaardige berichten had gewezen, ondernamen XDA-ontwikkelaars snel actie en verwijderden de verdachte media, maar de twijfelachtige inhoud was nog steeds beschikbaar op het moment van publicatie op Reddit.
De meeste kwaadaardige berichten en opmerkingen die door ESET zijn gevonden, proberen slachtoffers te verleiden de malware te downloaden. Het virus trekt het slachtoffer binnen door de inhoud na te bootsen die gewoonlijk wordt geassocieerd met pornografisch materiaal. In sommige gevallen zagen de onderzoekers ook dat enkele technische onderwerpen als aas werden gebruikt. In de meeste gevallen hebben de aanvallers echter links of QR-codes opgenomen die naar de kwaadaardige apps verwijzen.
Om onmiddellijke detectie te voorkomen voordat ze worden geopend, worden de links van de malware gemaskeerd als bit.ly-links. Verschillende van dergelijke sites voor het verkorten van links zijn in het verleden gebruikt om nietsvermoedende internetgebruikers naar kwaadaardige websites te leiden, phishing- en andere cyberaanvallen uit te voeren.
Hackers verspreiden Android Ransomware via sms naar uw contacten en versleutelen uw apparaatbestanden: een nieuwe familie van Android Ransomware genaamd Android / Filecoder.C verspreidde verschillende online forums en gebruikt verder de contactenlijst van het slachtoffer om te sms'en met een ... https://t.co/ddqwtfswl5 pic.twitter.com/6PJjmNyZKB
- Shah Sheikh (@shah_sheikh) 30 juli 2019
Zodra de Filecoder-ransomware zich stevig op het mobiele Android-apparaat van het slachtoffer heeft geplant, begint deze niet onmiddellijk de gegevens van de gebruiker te vergrendelen. In plaats daarvan valt de malware eerst de contacten van het Android-systeem binnen. Onderzoekers hebben een aantal interessant maar verontrustend agressief gedrag van de Filecoder-ransomware waargenomen. In wezen zift de malware snel maar grondig door de contactenlijst van het slachtoffer om zichzelf te verspreiden.
De malware probeert een zorgvuldig geformuleerd automatisch gegenereerd sms-bericht te sturen naar elk item in de contactenlijst van het mobiele Android-apparaat. Om de kans te vergroten dat potentiële slachtoffers op de ransomware klikken en deze downloaden, gebruikt het Filecoder-virus een interessante truc. De link in het besmette sms-bericht wordt geadverteerd als een app. Wat nog belangrijker is, de malware zorgt ervoor dat het bericht de profielfoto van het potentiële slachtoffer bevat. Bovendien is de foto zorgvuldig gepositioneerd om te passen in een app die het slachtoffer al gebruikt. In werkelijkheid is het een kwaadaardige nep-app die de ransomware herbergt.
Nog zorgwekkender is het feit dat de Filecoder-ransomware is gecodeerd om meertalig te zijn. Met andere woorden, afhankelijk van de taalinstelling van het geïnfecteerde apparaat, kunnen de berichten in een van de 42 mogelijke taalversies worden verzonden. De malware voegt ook automatisch de naam van de contactpersoon in het bericht in om de waargenomen authenticiteit te versterken.
Hoe infecteert en werkt de Filecoder Ransomware?
De links die de malware heeft gegenereerd, bevatten meestal een app die slachtoffers probeert te lokken. Het echte doel van de nep-app is om discreet op de achtergrond te draaien. Deze app bevat hardcoded command-and-control (C2) -instellingen, evenals Bitcoin-portemonnee-adressen, binnen de broncode. De aanvallers hebben ook het populaire online platform voor het delen van notities Pastebin gebruikt, maar het dient alleen als kanaal voor dynamische ophaalacties en mogelijk verdere infectiepunten.
Nadat de Filecoder-ransomware met succes de besmette sms in batches heeft verzonden en de taak heeft voltooid, scant het het geïnfecteerde apparaat om alle opslagbestanden te vinden en versleutelt de meeste ervan. ESET-onderzoekers hebben ontdekt dat de malware alle soorten bestandsextensies codeert die vaak worden gebruikt voor tekstbestanden, afbeeldingen, video's, enz. Maar om de een of andere reden laat het Android-specifieke bestanden achter, zoals .apk of .dex. De malware raakt ook geen gecomprimeerde .Zip- en .RAR-bestanden en bestanden die groter zijn dan 50 MB. De onderzoekers vermoeden dat de makers van malware mogelijk een slechte kopieer- en plakwerkzaamheden hebben verricht door inhoud uit WannaCry, een veel ernstigere en productievere vorm van ransomware, te verwijderen. Aan alle versleutelde bestanden wordt de extensie '.seven' toegevoegd
Onderzoekers ontdekken Android / Filecoder.C, een nieuwe Android-ransomwarefamilie die zich probeert te verspreiden naar de contacten van de slachtoffers en enkele ongebruikelijke trucs toepast https://t.co/5iCvkVbAND @welivesecurity @GEVAL #ransomware #Android pic.twitter.com/d150eY4N7X
- David Bisson (@DMBisson) 30 juli 2019
Na het succesvol versleutelen van de bestanden op het mobiele Android-apparaat, flitst de ransomware een typisch losgeldbriefje met eisen. Onderzoekers hebben gemerkt dat de Filecoder-ransomware eisen stelt die variëren van ongeveer $ 98 tot $ 188 in cryptocurrency. Om een gevoel van urgentie te creëren, heeft de malware ook een eenvoudige timer die ongeveer 3 dagen of 72 uur duurt. Het losgeldbriefje vermeldt ook hoeveel bestanden het in gijzeling houdt.
Interessant is dat ransomware het scherm van het apparaat niet vergrendelt of voorkomt dat een smartphone wordt gebruikt. Met andere woorden, slachtoffers kunnen nog steeds hun Android-smartphone gebruiken, maar hebben geen toegang tot hun gegevens. Bovendien, zelfs als de slachtoffers de kwaadaardige of verdachte app op de een of andere manier verwijderen, worden de wijzigingen niet ongedaan gemaakt of de bestanden gedecodeerd. Filecoder genereert een openbaar en privé sleutelpaar bij het versleutelen van de inhoud van een apparaat. De openbare sleutel is versleuteld met een krachtig RSA-1024-algoritme en een hardgecodeerde waarde die naar de makers wordt gestuurd. Nadat het slachtoffer de verstrekte Bitcoin-gegevens heeft betaald, kan de aanvaller de privésleutel decoderen en aan het slachtoffer vrijgeven.
Filecoder is niet alleen agressief, maar ook complex om weg te komen:
ESET-onderzoekers hadden eerder gemeld dat de hard gecodeerde sleutelwaarde kan worden gebruikt om bestanden te decoderen zonder de chantage-vergoeding te betalen door 'het coderingsalgoritme te veranderen in een decoderingsalgoritme'. Kortom, de onderzoekers waren van mening dat de makers van de Filecoder-ransomware per ongeluk een vrij eenvoudige methode hadden achtergelaten om een decrypter te maken.
“Vanwege de beperkte targeting en fouten in zowel de uitvoering van de campagne als de implementatie van de versleuteling, is de impact van deze nieuwe ransomware beperkt. Als de ontwikkelaars de tekortkomingen echter oplossen en de operators zich gaan richten op bredere groepen gebruikers, kan de Android / Filecoder.C-ransomware een ernstige bedreiging worden. '
De onderzoekers hebben hun bericht over de Filecoder-ransomware bijgewerkt en verduidelijkte dat 'deze‘ hard gecodeerde sleutel ’een openbare RSA-1024-sleutel is, die niet gemakkelijk kan worden verbroken, waardoor het bijna onmogelijk is om een decryptor voor deze specifieke ransomware te maken.'
Vreemd genoeg merkten de onderzoekers ook op dat er niets in de code van de ransomware staat dat de bewering ondersteunt dat de getroffen gegevens verloren gaan nadat de afteltimer is afgelopen. Bovendien lijken de makers van de malware met het losgeld te spelen. Hoewel de 0,01 Bitcoin of BTC standaard blijft, lijken de daaropvolgende cijfers de gebruikers-ID te zijn die door de malware is gegenereerd. Onderzoekers vermoeden dat deze methode zou kunnen dienen als een authenticatiefactor om de inkomende betalingen te matchen met het slachtoffer om de decoderingssleutel te genereren en te verzenden.
Tags android
