هشدار: باج افزار جدید برای اندروید در تلاش است تا از طریق پیامک به طور انبوه منتشر شود

محققان او ESET خانواده جدیدی از حملات باج افزار را کشف کرد آندروید، Android / Filecoder.C، که از لیست تماس قربانیان استفاده می کند و سعی می کند بیشتر از این طریق گسترش یابد SMS با لینک های مخرب

Τاین باج افزار جدید از طریق محتوای مستهجن در Reddit منتشر می شود. ESET نمایه مخرب مورد استفاده در کمپین گسترش باج افزار را گزارش کرده است، اما هنوز فعال است. برای مدت کوتاهی، این کمپین روی «برنامه‌نویسان XDA»، انجمنی برای توسعه‌دهندگان اندروید، اجرا شد. طبق گزارش ESET، مجرمان سایبری که باج‌افزار را اداره می‌کنند، پست‌های مخرب را حذف کرده‌اند.

Android / Filecoder.C از صفحات گسترده جالب استفاده می کند. قبل از شروع رمزگذاری فایل، پیام‌های متنی متعددی به هر آدرس در لیست مخاطبین قربانی ارسال می‌شود که از گیرندگان می‌خواهد روی پیوند مخربی که به فایل نصب باج‌افزار منتهی می‌شود، کلیک کنند. از نظر تئوری، عفونت های بی پایان ممکن است رخ دهد، زیرا این پیام مخرب به 42 زبان موجود است. لوکاش استفانکو، سرپرست تحقیقات، گفت: خوشبختانه، حتی کمتر مشکوک‌ترین کاربران هم می‌توانند بفهمند که پیام‌ها به درستی ترجمه نشده‌اند و به نظر می‌رسد در برخی از زبان‌ها منطقی نیستند.

Android / Filecoder.C علاوه بر مکانیسم استقرار غیر سنتی خود، دارای برخی ناهنجاری‌ها در رمزگذاری است. شامل فایل‌های بزرگ (بیش از 50 مگابایت) و تصاویر کوچک (زیر 150 کیلوبایت) نمی‌شود، در حالی که فهرست «انواع فایل برای رمزگذاری» حاوی ورودی‌های زیادی است که مربوط به Android نیستند، در حالی که برخی از برنامه‌های افزودنی رایج برای Android وجود ندارند. استفانکو خاطرنشان می کند: «بدیهی است که لیست از باج افزار بدنام WannaCry کپی شده است.

حقایق جالب دیگری در مورد رویکرد غیر متعارفی که توسط توسعه دهندگان این بدافزار استفاده می شود وجود دارد. برخلاف باج‌افزار استاندارد اندروید، Android/Filecoder.C با بستن صفحه نمایش، مانع از دسترسی کاربر به دستگاه نمی‌شود. علاوه بر این، مبلغ خاصی به عنوان باج تعیین نشده است. در عوض، مبلغی که مهاجمان در ازای وعده رمزگشایی فایل‌ها درخواست می‌کنند، به صورت پویا با استفاده از UserID که باج‌افزار برای آن قربانی مشخص کرده است، تولید می‌شود. این فرآیند باعث می شود که مقدار باج در هر بار منحصر به فرد باشد و از 0,01 تا 0,02 BTC متغیر باشد.

«ترفند باج منحصر به فرد بی سابقه است: ما هرگز آن را در هیچ باج افزاری که اکوسیستم اندروید را هدف قرار می دهد ندیده ایم.فتفانکو می گوید. «در عوض، هدف شناسایی پرداخت ها به ازای هر قربانی است که معمولاً با ایجاد یک کیف پول بیت کوین منحصر به فرد برای هر دستگاه رمزگذاری شده حل می شود. در این کمپین متوجه شدیم که تنها از یک کیف پول بیت کوین استفاده شده است'.

به گفته Lukáš ftefanko، کاربرانی که دستگاه های محافظت شده توسط ESET Mobile Security را دارند در معرض خطر این تهدید نیستند. «آنها در مورد پیوند مخرب اعلان دریافت می کنند. حتی اگر آنها هشدار را نادیده بگیرند و برنامه را دانلود کنند، راه حل امنیتی آن را مسدود می کند'.

منبع