Хотя программы-вымогатели для Android бездействовали с 2017 года, исследователи ESET обнаружили новое семейство программ-вымогателей, которые используют списки контактов жертв для дальнейшего распространения через SMS, содержащие вредоносные ссылки.
Новое программное обеспечение-вымогатель под названием Android/Filecoder.C распространялось на Reddit по темам, связанным с контентом для взрослых, а также в течение короткого времени через форум «XDA Developers».
Исследователь ESET, проводивший расследование, Лукаш Штефанко предоставил дополнительную информацию об обнаруженной компанией кампании вымогателей, заявив:
«Обнаруженная нами кампания небольшая и довольно любительская. Кроме того, сам шифровальщик имеет недостатки, особенно в том, что касается плохо реализованного шифрования. Все зашифрованные файлы можно восстановить без помощи злоумышленников. Однако, если разработчики исправят сбои и распространение становится более продвинутым, этот новый вирус-вымогатель может стать серьезной угрозой».
Android / Файлкодер.C
Android/Filecoder.C привлек внимание исследователей ESET благодаря своему уникальному механизму передачи. Прежде чем приступить к шифрованию файлов, программа-вымогатель отправляет на каждый адрес в списке контактов жертвы пакет текстовых сообщений, содержащих вредоносную ссылку на установочный файл программы-вымогателя.
Помимо нетрадиционного механизма распространения, Android/Filecoder.C содержит некоторые аномалии в шифровании. Программное обеспечение-вымогатель исключает большие файлы (более 50 МБ) и небольшие изображения (менее 150 КБ). Список «типов файлов для шифрования» также содержит множество записей, не связанных с Android, а также некоторые типичные расширения Android, которые, по словам Штефанко, происходят непосредственно из копии респектабельного списка программ-вымогателей WannaCry.
В отличие от классических программ-вымогателей для Android, Android/Filecoder.C не блокирует доступ пользователей к своим устройствам путем блокировки экрана. Кроме того, выкуп не определен как жестко запрограммированное значение. Сумма, запрошенная злоумышленниками, создается динамически с использованием идентификатора пользователя, присвоенного жертве программой-вымогателем. В результате этого процесса за каждую жертву устанавливается индивидуальная сумма выкупа в диапазоне от 0.01 до 0.02 BTC.
Чтобы не стать жертвой программ-вымогателей, ESET рекомендует регулярно обновлять свои устройства, загружать приложения только из Google Play или других надежных магазинов приложений, проверять рейтинги и обзоры приложений перед установкой, а также обращать особое внимание на разрешения, запрашиваемые приложение. и используйте решение мобильной безопасности для защиты вашего устройства.