Ondanks dat Android-ransomware sinds 2017 aan het afzwakken is in populariteit, hebben ESET-onderzoekers recent toch een nieuwe ransomwarefamilie ontdekt: Android/Filecoder.C. Door gebruik te maken van de contactlijsten van de slachtoffers poogt het zich verder te verspreiden via sms’jes met kwaadaardige links.
Deze nieuwe ransomware werd gedistribueerd via porno-gerelateerde topics op Reddit. Het kwaadwillende profiel gebruikt voor het distribueren van de ransomware is gerapporteerd door ESET, maar blijft nog steeds actief. De campagne heeft ook kort gedraaid op het “XDA developers”-forum, een forum voor Android-ontwikkelaars; maar beheerders hebben daar de kwaadaardige posts inmiddels verwijderd.
“De campagne die we ontdekten is klein en wat amateuristisch. Echter, als de ontwikkelaars de tekortkomingen herstellen en de distributie geavanceerder wordt, kan deze nieuwe ransomware een serieuze dreiging worden,” zo laat Lukáš Štefanko, ESET-onderzoeker en hoofd van dit onderzoek, weten.
De nieuwe ransomware is opmerkelijk wegens zijn distributiemechanisme. Voordat bestanden versleuteld worden, wordt naar elk contact van de slachtoffer een sms-bericht gestuurd en worden ontvangers van de berichten verleid om op een kwaadaardige link te klikken waarna het ransomwarebestand geïnstalleerd wordt. “In theorie kan dit leiden naar een lading van infecties – al helemaal omdat de malware versies van het bericht in 42 talen heeft.” voegt Štefanko toe. “Gelukkig kunnen zelfs naïeve gebruikers zien dat het bericht slecht vertaald is en lijkt het erop dat sommige vertalingen niet eens logisch zijn.” Talen die worden gebruikt voor deze berichten zijn, onder andere, Engels, Afrikaans, Indonesisch en Iers. Geen Nederlands.
Naast dit non-traditionele distributiemechanisme, heeft Android/Fildecoder.C enkele afwijkingen in zijn encryptie. Grote archieven (meer dan 50 MB) en kleine afbeeldingen (onder 150 kB) worden buitengesloten en de lijst met “bestandtypen te versleutelen” bevat meerdere typen die niet aan Android toebehoren terwijl enkele typische extensies voor Android ontbreken. “Blijkbaar is de lijst gekopieerd van de beruchte WannaCry-ransomware,” aldus Štefanko.
De onorthodoxe aanpak van de malware-ontwikkelaars heeft nog meer intrigerende elementen: waar bij typische Android-ransomware de gebruiker geen toegang tot het apparaat meer heeft door een vergrendeld scherm is dat bij Android/Filecoder.C niet het geval. Daarnaast heeft het losgeld voor het ontsleutelen van de bestanden geen vaste waarde, maar wordt dit dynamisch bepaald door gebruik van een UserID die door de ransomware aan elk slachtoffer gekoppeld wordt. Dit proces resulteert in een unieke som losgeld, ergens tussen 0.01-0.02 bitcoins.
Volgens Štefanko is de truc met een unieke som losgeld nieuw. Dat hebben ze nog niet eerder gezien bij Android-ransomware. Het is waarschijnlijk bedoeld om betalingen aan slachtoffers te koppelen. Dit wordt doorgaans opgelost door een unieke Bitcoin-portefeuille te creëren voor elk versleuteld apparaat. In deze campagne is er ook maar één Bitcoin-portefeuille in gebruik gezien.
Deze ontdekking laat zien dat ransomware nog steeds een dreiging vormt voor mobiele Android-apparaten. Om veilig te blijven, zijn er een paar eenvoudige dingen om te onthouden:
[Fotocredits © Rawf8 – Adobe Stock]
