باحثوها ESET اكتشف عائلة جديدة من هجمات برامج الفدية أندرويد، ال أندرويد / Filecoder.C، والتي تستخدم قائمة الاتصال الخاصة بالضحايا وتحاول الانتشار أكثر من خلالها SMS مع روابط خبيثة.
Τينتشر برنامج الفدية الجديد هذا على Reddit من خلال محتوى إباحي. أبلغت ESET عن ملف التعريف الضار المستخدم في حملة انتشار برامج الفدية ، لكنه لا يزال نشطًا. لفترة قصيرة ، تم تشغيل الحملة أيضًا على "مطوري XDA" ، وهو منتدى لمطوري Android. وفقًا لتقرير ESET ، قام مجرمو الإنترنت الذين يقومون بتشغيل برامج الفدية بإزالة المشاركات الضارة.
يستخدم Android / Filecoder.C جداول بيانات مثيرة للاهتمام. قبل أن يبدأ تشفير الملفات ، يتم إرسال رسائل نصية متعددة إلى كل عنوان في قائمة جهات اتصال الضحية ، مما يطالب المستلمين بالنقر فوق ارتباط ضار يؤدي إلى ملف تثبيت برنامج الفدية. "من الناحية النظرية ، يمكن أن تحدث إصابات لا نهاية لها ، حيث تتوفر هذه الرسالة الخبيثة في 42 لغة. قال لوكاس شتيفانكو ، رئيس قسم الأبحاث ، "لحسن الحظ ، يمكن حتى للمستخدمين الأقل شكًا أن يفهموا أن الرسائل لم تتم ترجمتها بشكل صحيح ويبدو أنها تبدو غير منطقية في بعض اللغات".
بالإضافة إلى آلية جداول البيانات غير التقليدية ، يحتوي Android / Filecoder.C على بعض الحالات الشاذة في تشفيره. يستثني الملفات الكبيرة (أكثر من 50 ميجابايت) والصور الصغيرة (أقل من 150 كيلوبايت) ، بينما تحتوي قائمة "أنواع الملفات للتشفير" على العديد من الإدخالات التي لا تتعلق بنظام Android ، في حين أن بعض الامتدادات الشائعة لنظام Android مفقودة. يلاحظ Štefanko أنه "من الواضح أن القائمة قد تم نسخها من WannaCry ransomware الشائنة".
هناك حقائق أخرى مثيرة للاهتمام حول الأسلوب غير التقليدي الذي يستخدمه مطورو هذه البرامج الضارة. على عكس برامج الفدية القياسية لنظام Android ، لا يمنع Android / Filecoder.C المستخدم من الوصول إلى الجهاز عن طريق إغلاق الشاشة. بالإضافة إلى ذلك ، لم يتم تحديد مبلغ محدد كفدية. بدلاً من ذلك ، يتم إنشاء المبلغ الذي يطلبه المهاجمون مقابل الوعد بفك تشفير الملفات ديناميكيًا باستخدام معرف المستخدم الذي حددته برامج الفدية لتلك الضحية. ينتج عن هذه العملية أن يكون مبلغ الفدية فريدًا في كل مرة ، ويتراوح من 0,01-0,02 BTC.
«الحيلة مع الفدية الفريدة غير مسبوقة: لم نشاهدها مطلقًا في أي برنامج فدية يستهدف نظام Android البيئي"، كما يقول فتيفانكو. «بدلاً من ذلك ، الهدف هو تحديد المدفوعات لكل ضحية ، والتي يتم حلها عادةً عن طريق إنشاء محفظة Bitcoin فريدة لكل جهاز مشفر. في هذه الحملة ، اكتشفنا أنه تم استخدام محفظة Bitcoin واحدة فقط".
وفقًا لـ Lukáš ftefanko ، لا يتعرض مستخدمو الأجهزة المحمية بواسطة ESET Mobile Security لخطر هذا التهديد. «يتلقون إشعارًا حول الارتباط الضار. حتى إذا تجاهلوا التحذير وقاموا بتنزيل التطبيق ، فسيحظره الحل الأمني".
[the_ad_group id = ”966 ″]