Investigadores de ciberseguridad se han encontrado con una nueva familia de ransomware para Android distribuida a través de varios foros en línea. Apodado Android / Filecoder.C por ESET, el malware utiliza la lista de contactos de las víctimas en un intento de propagarse a través de mensajes de texto que contienen enlaces maliciosos.
Android / Filecoder.C ha estado activo desde al menos julio de 2019 y se está difundiendo a través de publicaciones maliciosas en foros en línea, incluidos Reddit y el tablero de mensajería para desarrolladores de Android XDA Developers.
Los investigadores descubrieron dos dominios que albergaban archivos maliciosos de Android. Los atacantes atrajeron a víctimas potenciales a estos dominios a través de publicaciones relacionadas con pornografía y comentarios sobre Reddit o temas técnicos sobre XDA Developers, que incluían enlaces a aplicaciones maliciosas.
Después de infectar un dispositivo móvil Android, Filecoder escanea la lista de contactos de la víctima y envía enlaces en ransomware a todas las entradas de la lista. El enlace se presenta como un enlace a una aplicación que supuestamente usa las fotos del contacto, mientras que en realidad es una aplicación maliciosa que contiene el ransomware. Dependiendo de la configuración de idioma del dispositivo, Filecoder enviará mensajes en una de las 42 versiones de idioma posibles. Para personalizar el mensaje, el malware también incluirá el nombre del contacto en él.
Si la víctima hace clic en el enlace e instala la aplicación manualmente, la aplicación mostrará un material prometido, a menudo es un juego en línea de simulador de sexo, pero sus propósitos principales son la comunicación C&C, difundir mensajes maliciosos e implementar el mecanismo de cifrado / descifrado.
La aplicación contiene configuraciones codificadas de comando y control (C2), así como direcciones de billetera de Bitcoin, dentro de su código fuente y utiliza el servicio Pastebin para la recuperación dinámica. Después de enviar mensajes de texto a los participantes en la lista de contactos de las víctimas, el malware cifrará la mayoría de los archivos en el almacenamiento del dispositivo accesible, excluyendo los archivos del sistema, y mostrará su nota de rescate con demandas que van desde aproximadamente $ 98 a $ 188 en criptomoneda. Sin embargo, no encripta archivos en directorios que contienen las cadenas ".cache", "tmp" o "temp" o archivos con extensiones ".zip" o ".rar". ESET también notó algunas rarezas con este ransomware. Por ejemplo, durante el proceso de cifrado, Filecoder ignora los archivos de más de 50 MB de tamaño y los archivos ".jpeg", ".jpg" y ".png" de menos de 150 Kb, y a diferencia del ransomware típico de Android, no bloquea la pantalla del dispositivo. Además, su lista de tipos de archivos para cifrar incluye tipos no relacionados con Android y, al mismo tiempo, omite algunas extensiones típicas de Android, como .apk, .dex, .so. Los investigadores creen que la lista no es más que la copia de la lista del notorio ransomware WannaCry.
“Debido a la focalización limitada y las fallas en la ejecución de la campaña, el impacto de este nuevo ransomware es limitado. Sin embargo, si los operadores comienzan a apuntar a grupos más amplios de usuarios, el ransomware Android / Filecoder.C podría convertirse en una seria amenaza ", señaló el investigador de ESET Lukas Stefanko.
IOC
Hash ESET detection name
B502874681A709E48F3D1DDFA6AE398499F4BD23 Android/Filecoder.C
D5EF600AA1C01FA200ED46140C8308637F09DFCD Android/Filecoder.C
B502874681A709E48F3D1DDFA6AE398499F4BD23 Android/Filecoder.C
F31C67CCC0D1867DB1FBC43762FCF83746A408C2 Android/Filecoder.C
Bitcoin address
16KQjht4ePZxxGPr3es24VQyMYgR9UEkFy
Servidores
- http://rich7[.]xyz
- http://wevx[.]xyz
- https://pastebin[.]com/raw/LQwGQ0RQ
Dirección de Correo
h3athledger@yandex[.]ru
Versiones afectadas: Android 5.1 y superior
Fuente: WeliveSecurity
