Während Android-Ransomware seit 2017 inaktiv ist, haben ESET-Forscher eine neue Familie von Ransomware entdeckt, die die Kontaktlisten der Opfer nutzt, um sich per SMS mit schädlichen Links weiter zu verbreiten.
Die neue Ransomware-Software namens Android/Filecoder.C wurde auf Reddit zu Themen im Zusammenhang mit Inhalten für Erwachsene sowie für kurze Zeit über das Forum „XDA Developers“ verbreitet.
Der ESET-Forscher, der die Untersuchung durchführte, Lukáš Štefanko, lieferte zusätzliche Informationen über die vom Unternehmen entdeckte Ransomware-Kampagne und erklärte:
„Die von uns entdeckte Kampagne ist klein und ziemlich amateurhaft. Darüber hinaus ist die Ransomware selbst fehlerhaft, insbesondere im Hinblick auf eine schlecht implementierte Verschlüsselung. Alle verschlüsselten Dateien können ohne die Hilfe von Angreifern wiederhergestellt werden. Wenn die Entwickler jedoch die Fehler beheben und die Verteilung Wird die Ransomware immer weiter fortgeschritten, könnte diese neue Ransomware zu einer ernsthaften Bedrohung werden.“
Android / Filecoder.C
Android/Filecoder.C hat aufgrund seines einzigartigen Übertragungsmechanismus die Aufmerksamkeit der ESET-Forscher auf sich gezogen. Bevor mit der Verschlüsselung von Dateien begonnen wird, sendet die Ransomware eine Reihe von Textnachrichten an jede Adresse in der Kontaktliste des Opfers, die einen schädlichen Link zur Ransomware-Installationsdatei enthalten.
Zusätzlich zu seinem nicht-traditionellen Verbreitungsmechanismus weist Android/Filecoder.C einige Anomalien in seiner Verschlüsselung auf. Ransomware-Software schließt große Dateien (mehr als 50 MB) und kleine Bilder (weniger als 150 KB) aus. Die Liste der „zu verschlüsselnden Dateitypen“ enthält auch viele nicht Android-bezogene Einträge sowie einige der typischen Android-Erweiterungen, die laut Štefanko direkt aus der Kopie der seriösen WannaCry-Ransomware-Liste resultieren.
Im Gegensatz zu klassischer Android-Ransomware verhindert Android/Filecoder.C nicht, dass Benutzer durch Sperren des Bildschirms auf ihre Geräte zugreifen. Darüber hinaus ist das Lösegeld nicht als fest codierter Wert definiert. Der von den Angreifern angeforderte Betrag wird dynamisch anhand der Benutzer-ID erstellt, die die Ransomware dem Opfer zugewiesen hat. Dieser Prozess führt zu einem individuellen Lösegeldbetrag für jedes Opfer, der zwischen 0.01 und 0.02 BTC liegt.
Um nicht Opfer von Ransomware zu werden, empfiehlt ESET, dass Sie Ihre Geräte auf dem neuesten Stand halten, nur Apps von Google Play oder anderen seriösen App-Stores herunterladen, vor der Installation die Bewertungen und Rezensionen von Apps überprüfen und besonders auf die von Ihnen angeforderten Berechtigungen achten App. und nutzen Sie eine mobile Sicherheitslösung, um Ihr Gerät zu schützen.