Porno na Reddicie i forum XDA Developers może zaszyfrować smartfon

Po raz pierwszy od około dwóch lat, zauważono nową rodzinę oprogramowania ransomware, rozpoznawanego jako Android/Filecoder.C. Złośliwy wirus szyfrujący smartfony jest aktywny co najmniej od 12 lipca. Uderza on głównie w internautów, którzy skuszą się na pobranie porno na Reddicie lub programistycznym formu XDA Developers.
porno na reddicie
porno na reddicie

porno na reddicie
Tak wygląda post z materiałami porno na Reddicie, który tak naprawdę kieruje do zarażonego pliku. (fot. ESET)

Gdy ofiara kliknie w link lub zeskanuje kod QR, złośliwe oprogramowanie instaluje się w systemie. Wykrywa ono język urządzenia, a następnie wysyła wiadomości SMS do wszystkich kontaktów znajdujących się w smartfonie. Treść komunikatu sugeruje, że zdjęcia odbiorcy zostały użyte w nieodpowiedni sposób w aplikacji zawierającej treści pornograficzne. Dołączony link zawiera oczywiście wirusa, który w ten sam sposób infekuje telefon nowej ofiary.

porno na reddicie
Zrzut ekranu pulpitu informującego o zaszyfrowaniu telefonu Filecoderem (fot. ESET)

Następnie ransomware szyfruje smartfon i wymusza okup w bitcoinach. Co ciekawe, kwota za odszyfrowanie nie jest stała jak w przypadku innych zagrożeń tego typu, a zmienia się dynamicznie (od 0,01-0,02 BTC) w zależności od unikatowego ID ofiary. – To nowa sztuczka. Do tej pory nie widzieliśmy takiego zastosowania w oprogramowaniu ransomware wymierzonego w telefony z systemem Android – tłumaczy Lukas Stefanko, analityk firmy ESET.

Ransomware z… luką

Na szczęście dla użytkowników, oprogramowanie posiada pewne luki, więc możliwe jest odszyfrowanie plików bez płacenia okupu. Wirus nie szyfruje dużych archiwów (powyżej 50 MB) oraz małych obrazów (poniżej 150 KB). Z badań analityków wynika, że Android/Filecoder.C omija też pliki z typowymi dla Androida rozszerzeniami (.apk czy .dex). Lukas Stefanko sugeruje, że lista rozszerzeń mogła zostać skopiowana z WannaCry, który atakował systemy Windows.

Ataki ransomware przeprowadzane są głównie na dużych instytucjach. Zaledwie kilka dni temu zainfekowano systemy elektrowni w Johannesburgu, pozbawiając mieszkańców prądu. Wcześniej norweska firma Norks Hydro straciła w wyniku ataku 57 mln dolarów. | CHIP

Nietypowy ransomware na Androida