محققان او ESET خانواده جدیدی از حملات باج افزار را کشف کرد آندروید، Android / Filecoder.C، که از لیست تماس قربانیان استفاده می کند و سعی می کند بیشتر از این طریق گسترش یابد SMS با لینک های مخرب
Τاین باج افزار جدید از طریق محتوای مستهجن در Reddit منتشر می شود. ESET نمایه مخرب مورد استفاده در کمپین گسترش باج افزار را گزارش کرده است، اما هنوز فعال است. برای مدت کوتاهی، این کمپین روی «برنامهنویسان XDA»، انجمنی برای توسعهدهندگان اندروید، اجرا شد. طبق گزارش ESET، مجرمان سایبری که باجافزار را اداره میکنند، پستهای مخرب را حذف کردهاند.
Android / Filecoder.C از صفحات گسترده جالب استفاده می کند. قبل از شروع رمزگذاری فایل، پیامهای متنی متعددی به هر آدرس در لیست مخاطبین قربانی ارسال میشود که از گیرندگان میخواهد روی پیوند مخربی که به فایل نصب باجافزار منتهی میشود، کلیک کنند. از نظر تئوری، عفونت های بی پایان ممکن است رخ دهد، زیرا این پیام مخرب به 42 زبان موجود است. لوکاش استفانکو، سرپرست تحقیقات، گفت: خوشبختانه، حتی کمتر مشکوکترین کاربران هم میتوانند بفهمند که پیامها به درستی ترجمه نشدهاند و به نظر میرسد در برخی از زبانها منطقی نیستند.
Android / Filecoder.C علاوه بر مکانیسم استقرار غیر سنتی خود، دارای برخی ناهنجاریها در رمزگذاری است. شامل فایلهای بزرگ (بیش از 50 مگابایت) و تصاویر کوچک (زیر 150 کیلوبایت) نمیشود، در حالی که فهرست «انواع فایل برای رمزگذاری» حاوی ورودیهای زیادی است که مربوط به Android نیستند، در حالی که برخی از برنامههای افزودنی رایج برای Android وجود ندارند. استفانکو خاطرنشان می کند: «بدیهی است که لیست از باج افزار بدنام WannaCry کپی شده است.
حقایق جالب دیگری در مورد رویکرد غیر متعارفی که توسط توسعه دهندگان این بدافزار استفاده می شود وجود دارد. برخلاف باجافزار استاندارد اندروید، Android/Filecoder.C با بستن صفحه نمایش، مانع از دسترسی کاربر به دستگاه نمیشود. علاوه بر این، مبلغ خاصی به عنوان باج تعیین نشده است. در عوض، مبلغی که مهاجمان در ازای وعده رمزگشایی فایلها درخواست میکنند، به صورت پویا با استفاده از UserID که باجافزار برای آن قربانی مشخص کرده است، تولید میشود. این فرآیند باعث می شود که مقدار باج در هر بار منحصر به فرد باشد و از 0,01 تا 0,02 BTC متغیر باشد.
«ترفند باج منحصر به فرد بی سابقه است: ما هرگز آن را در هیچ باج افزاری که اکوسیستم اندروید را هدف قرار می دهد ندیده ایم.فتفانکو می گوید. «در عوض، هدف شناسایی پرداخت ها به ازای هر قربانی است که معمولاً با ایجاد یک کیف پول بیت کوین منحصر به فرد برای هر دستگاه رمزگذاری شده حل می شود. در این کمپین متوجه شدیم که تنها از یک کیف پول بیت کوین استفاده شده است'.
به گفته Lukáš ftefanko، کاربرانی که دستگاه های محافظت شده توسط ESET Mobile Security را دارند در معرض خطر این تهدید نیستند. «آنها در مورد پیوند مخرب اعلان دریافت می کنند. حتی اگر آنها هشدار را نادیده بگیرند و برنامه را دانلود کنند، راه حل امنیتی آن را مسدود می کند'.
[شناسه گروه_بسته = "966]