Sliedrecht, 31 juli 2019 – Ondanks dat Android-ransomware sinds 2017 aan het afzwakken is in populariteit, hebben ESET-onderzoekers recent een nieuwe ransomwarefamilie ontdekt: Android/Filecoder.C. Door gebruik te maken van de contactlijsten van de slachtoffers poogt het zich verder te verspreiden via sms’jes met kwaadaardige links.
Deze nieuwe ransomware werd gedistribueerd via porno-gerelateerde topics op Reddit. Het kwaadwillende profiel gebruikt voor het distribueren van de ransomware is gerapporteerd door ESET, maar blijft nog steeds actief. De campagne heeft ook kort gedraaid op het “XDA developers”-forum, een forum voor Android-ontwikkelaars; volgens het rapport van ESET hebben de beheerders de kwaadaardige posts inmiddels verwijderd.
“De campagne die we ontdekten is klein en wat amateuristisch. Echter, als de ontwikkelaars de tekortkomingen herstellen en de distributie geavanceerder wordt, kan deze nieuwe ransomware een serieuze dreiging worden,” zegt Lukáš Štefanko, ESET-onderzoeker en hoofd van dit onderzoek.
De nieuwe ransomware is opmerkelijk wegens zijn distributiemechanisme. Voordat bestanden versleuteld worden, wordt naar elk contact van de slachtoffer een sms-bericht gestuurd en worden ontvangers van de berichten verleid om op een kwaadaardige link te klikken waarna het ransomwarebestand geïnstalleerd wordt. “In theorie kan dit leiden naar een lading van infecties – al helemaal omdat de malware versies van het bericht in 42 talen heeft,” voegt Štefanko toe. “Gelukkig kunnen zelfs naïeve gebruikers zien dat het bericht slecht vertaald is en lijkt het erop dat sommige vertalingen niet eens logisch zijn.” Talen die worden gebruikt voor deze berichten zijn, onder andere, Engels, Afrikaans, Indonesisch en Iers. Het Nederlands wordt niet gebruikt.
Naast dit non-traditionele distributiemechanisme, heeft Android/Fildecoder.C enkele afwijkingen in zijn encryptie. Grote archieven (meer dan 50 MB) en kleine afbeeldingen (onder 150 kB) worden buitengesloten en de lijst met “bestandtypen te versleutelen” bevat meerdere typen die niet aan Android toebehoren terwijl enkele typische extensies voor Android ontbreken. “Blijkbaar is de lijst gekopieerd van de beruchte WannaCry-ransomware,” merkt Štefanko op.
De onorthodoxe aanpak van de malware-ontwikkelaars heeft nog meer intrigerende elementen: waar bij typische Android-ransomware de gebruiker geen toegang tot het apparaat meer heeft door een vergrendeld scherm is dat bij Android/Filecoder.C niet het geval. Daarnaast heeft het losgeld voor het ontsleutelen van de bestanden geen vaste waarde, maar wordt dit dynamisch bepaald door gebruik van een UserID die door de ransomware aan elk slachtoffer gekoppeld wordt. Dit proces resulteert in een unieke som losgeld, ergens tussen 0.01-0.02 bitcoins.
“De truc met een unieke som losgeld is nieuw: we hebben het nog niet eerder gezien bij Android-ransomware,” zegt Štefanko. “Het is waarschijnlijk bedoeld om betalingen aan slachtoffers te koppelen. Dit wordt doorgaans opgelost door een unieke Bitcoin-portefeuille te creëren voor elk versleuteld apparaat. In deze campagne hebben we maar één Bitcoin-portefeuille in gebruik gezien.”
Volgens Lukáš Štefanko zijn gebruikers met apparaten beveiligd door ESET Mobiel Security veilig voor deze dreiging. “Ze ontvangen een waarschuwing over de kwaadaardige link; indien ze de waarschuwing negeren en de app downloaden, wordt deze geblokkeerd door de securityoplossing.”
De ontdekking laat zien dat ransomware nog steeds een dreiging vormt voor mobiele Android-apparaten. Om veilig te blijven, raden we gebruikers de volgende basis beveiligingsmaatregelen aan.
- Houd je apparaten up-to-date. Idealiter heb je je apparaat zo ingesteld dat patches en updates automatisch uitgevoerd worden.
- Indien mogelijk, gebruik alleen Google Play of andere erkende appstores. Het komt wel eens voor dat deze appstores toch kwaadaardige apps bevatten, maar de kans is groot dat je ze nooit tegenkomt.
- Voordat je een app installeert, check de recensies en ratings. Kijk naar de negatieve feedback gezien die meestal door legitieme gebruikers wordt gegeven terwijl positieve feedback vaak door de aanvallers wordt geschreven.
- Kijk goed naar de machtigingen die de app vereist. Indien ze niet lijken te passen bij de functies van de app, kun je de app beter niet downloaden.
- Gebruik een erkende mobiele beveiligingsoplossing om je apparaat te beschermen.
Lees voor meer informatie het blog op WeLiveSecurity.
Over ons
Al 30 jaar lang ontwikkelt ESET® toonaangevende IT-beveiligingssoftware en -diensten voor bedrijven en consumenten over de hele wereld. Inmiddels is ESET uitgegroeid tot het grootste IT-security bedrijf van de Europese Unie met oplossingen variërend van endpoint en mobile security, tot encryptie en tweefactorauthenticatie. ESET beschermt en monitort 24/7 op de achtergrond en werkt beveiliging in real-time bij om gebruikers veilig te houden en bedrijven zonder onderbreking te laten werken. Gesteund door R&D-centra over de hele wereld, is ESET het eerste IT-beveiligingsbedrijf dat 100 Virus Bulletin VB100-awards heeft verdiend, waarmee elke afzonderlijke "in-the-wild" malware zonder onderbreking werd geïdentificeerd sinds 2003. Ga voor meer informatie naar www.eset.nl of volg ons op LinkedIn, Facebook en Twitter.