Un nuovo ransomware attacca gli smartphone Android

Nel corso dell'ultima settimana abbiamo assistito alla diffusione di un ransomware che prende di mira i dispositivi Android su cui sono installate le versioni 5.1 o successive del sistema operativo di Google.

Una volta contratto, il malware utilizza la lista dei contatti presenti sullo smartphone compromesso per inviare sms contenenti link malevoli e crittografando i dispositivi.

FileCoder, così stato battezzato il ransomware in questione, è stato individuato da Eset, società che si occupa di cybersecurity, e ha cominciato a diffondersi sul web sfruttando contenuti per adulti pubblicati sulla celebre piattaforma Reddit e tramite il forum della community di sviluppatori Android Xda.

 

Come avviene l'infezione?

Il ransomware FileCoder infetta i dispositivi mediate campagne di malspam o phishing: cliccando sul link contenuto nell'SMS la vittima scarica il file malevolo e installa l'applicazione a fondo erotico indicata nel messaggio.

All'avvio l'app richiederà le seguenti autorizzazioni:

  • android.permission.SET_WALLPAPER
  • android.permission.WRITE_EXTERNAL_STORAGE
  • android.permission.READ_EXTERNAL_STORAGE
  • android.permission.READ_CONTACTS
  • android.permission.RECEIVE_BOOT_COMPLETED
  • android.permission.SEND_SMS
  • android.permission.INTERNET

Una volta ricevute tali permessi FileCoder comincia ad inviare messaggi dannosi a tutti i contatti presenti sul dispositivo e implementa il meccanismo di crittografia dei file.

Una volta criptati tutti i file contenuti nello smartphone (riconoscibili grazie all'estensione .seven che viene aggiunta in fase di criptatura), il ransomware mostra alla vittima un messaggio di riscatto, nel quale si richiede un pagamento in Bitcoin entro 72 ore. Se ciò non avverrà tutti i file criptati verranno irrimediabilmente cancellati.

Il riscatto richiesto per decriptare i file non è preimpostato e viene generato dinamicamente con una richiesta diversa per ogni utente, che può variare tra 0,01 e 0,02 Bitcoin (ossia tra € 85 e € 175).

 

Schermata di notifica di infezione da ransomware che mostra il riscatto da pagare (fonte: Eset) 

 

Come difendersi dal malware FileCoder? 

Per non cadere vittima del nuovo ransomware è sufficiente attuare alcuni piccoli accorgimenti:

  • non scaricare applicazioni e file da sorgenti diverse da Google Play e non verificate;
  • mai cliccare sui link presenti in SMS provenienti da mittenti sconosciuti o sospetti;
  • nel caso di link inviati da contatti noti è comunque consigliabile un controllo prima di aprire la pagina web;
  • mantenere il sistema operativo del proprio dispositivo sempre aggiornato;
  • installare un antivirus o altre soluzioni di sicurezza per mobile.

 

Le anomalie

Nel funzionamento di FileCoder sono state individuati alcuni comportamenti anomali per questa tipologia di ramsonware:

  • non vengono crittografati i file superiori a 50 MB, le immagini inferiori a 150KB e i file compressi con estensione .rar o .zip e i file con alcune estensioni tipiche di Android;
  • una volta attivato FileCoder non impedisce agli utenti di accedere al dispositivo bloccando lo schermo.

 

Sei caduto vittima del ransomware Android? Il team di IPSNet è in grado di offrirti assistenza in situazioni critiche di questo tipo.

Contattaci per saperne di più. 

 

Commenti chiusi