Reading Time: 3 minutes

Criminosos estão a distribuir ransomware para Android via SMS e para a sua lista de contactos, cifrando também os ficheiros disponíveis no seu smartphone.

Uma nova família de Ransomware para Android, chamada Android / Filecoder.C, usa a lista de contactos da vítima para enviar SMS com um link malicioso.

A firma de segurança ESET detetou atividade relacionada com esta ameaça em 12 de julho de 2019: “Due to narrow targeting and flaws in both execution of the campaign and implementation of its encryption, the impact of this new ransomware is limited.”

O ransomware é distribuído essencialmente através de dois meios: fóruns on-line e mensagens SMS. Os agentes de ameaça postam ou comentam os links de download do ransomware nos fóruns Reddit ou XDA Developers.

Como forma de atrair a vítima, os atores da ameaça publicam algo relacionado a pornografia ou relacionado a tecnologia, ou códigos QR, vinculados às apps maliciosas.

Os atacantes também escondem o link utilizando short URLs. O bitly partilhado no Reddit mostra que foi acedido 59 vezes até agora de diferentes países. O link foi criado em 11 de junho de 2019.

Android Ransomware

 

 

Além disso, o ransomware espalha-se por SMS, se infectar um dispositivo, então procura a lista de contatos da vítima e espalha os links maliciosos para todos os contatos apenas enviando uma SMS.

Ao clicar no link do SMS, ele faz o download do ficheiro malicioso.

Uma vez instalado, ele mostra o que é prometido nos posts que o distribuem, mas a sua finalidade é a comunicação C&C, espalhando mensagens maliciosas e implementando o mecanismo de criptografia (ransomware)”, diz o relatório da ESET.

Android Ransomware

 

42 idiomas, endereços C&C e Bitcoin URLs codificados no ransomware.

Antes de cifrar o dispositivo, ele distribui os links para todos os contactos da vítima, depois, acede o armazenamento de ficheiros, e por fim, inicia o processo de criptografia.

Researchers noted that the “files can still be recovered, due to flawed encryption. Also, according to our analysis, there is nothing in the ransomware’s code to support the claim that the affected data will be lost after 72 hours.”

 

O ransomware cifra os seguintes tipos de ficheiros:

“.doc”, “.docx”, “.xls”, “.xlsx”, “.ppt”, “.pptx”, “.pst”, “.ost”, “.msg”, 
“.eml”, “.vsd”, “.vsdx”, “.txt”, “.csv”, “.rtf”, “.123”, “.wks”, “.wk1”, 
“.pdf”, “.dwg”, “.onetoc2”, “.snt”, “.jpeg”, “.jpg”, “.docb”, “.docm”,
“.dot”, “.dotm”, “.dotx”, “.xlsm”, “.xlsb”, “.xlw”, “.xlt”, “.xlm”, 
“.xlc”, “.xltx”, “.xltm”, “.pptm”, “.pot”, “.pps”, “.ppsm”, “.ppsx”, 
“.ppam”, “.potx”, “.potm”, “.edb”, “.hwp”, “.602”, “.sxi”, “.sti”, 
“.sldx”, “.sldm”, “.sldm”, “.vdi”, “.vmdk”, “.vmx”, “.gpg”, “.aes”, 
“.ARC”, “.PAQ”, “.bz2”, “.tbk”, “.bak”, “.tar”, “.tgz”, “.gz”, “.7z”, 
“.rar”, “.zip”, “.backup”, “.iso”, “.vcd”, “.bmp”, “.png”, “.gif”, 
“.raw”, “.cgm”, “.tif”, “.tiff”, “.nef”, “.psd”, “.ai”, “.svg”, “.djvu”, 
“.m4u”, “.m3u”, “.mid”, “.wma”, “.flv”, “.3g2”, “.mkv”, “.3gp”, 
“.mp4”, “.mov”, “.avi”, “.asf”, “.mpeg”, “.vob”, “.mpg”, “.wmv”, 
“.fla”, “.swf”, “.wav”, “.mp3”, “.sh”, “.class”, “.jar”, “.java”, “.rb”,
“.asp”, “.php”, “.jsp”, “.brd”, “.sch”, “.dch”, “.dip”, “.pl”, “.vb”, 
“.vbs”, “.ps1”, “.bat”, “.cmd”, “.js”, “.asm”, “.h”, “.pas”, “.cpp”, 
“.c”, “.cs”, “.suo”, “.sln”, “.ldf”, “.mdf”, “.ibd”, “.myi”, “.myd”, 
“.frm”, “.odb”, “.dbf”, “.db”, “.mdb”, “.accdb”, “.sql”, 
“.sqlitedb”, “.sqlite3”, “.asc”, “.lay6”, “.lay”, “.mml”, “.sxm”, 
“.otg”, “.odg”, “.uop”, “.std”, “.sxd”, “.otp”, “.odp”, “.wb2”, 
“.slk”, “.dif”, “.stc”, “.sxc”, “.ots”, “.ods”, “.3dm”, “.max”, 
“.3ds”, “.uot”, “.stw”, “.sxw”, “.ott”, “.odt”, “.pem”, “.p12”, 
“.csr”, “.crt”, “.key”, “.pfx”, “.der”

 

Esse ransomware não bloqueia o ecra como outros ransomwares e não cifra os seguintes diretórios: “.cache”, “tmp” ou “temp” e “.zip” ou “.rar” acima de 50 MB e “.jpeg” , “.Jpg” e “.png”  – ficheiros inferiores a 150kb.

Depois de terminar o processo de criptografia, a extensão .seven é adicionada ao ficheiro e solicita aos utilizadores que paguem o resgate para desbloquear os ficheiros.

No entanto, e segundo os investigadores da ESET, os ficheiros podem ser decifrados sem pagar o resgate.

É possível decifrar os ficheiros sem pagar o resgate, apenas alterando o algoritmo de cifra para um algoritmo de decifra. Tudo o que é necessário é o UserID fornecido pelo ransomware e o arquivo APK do ransomware, caso seus autores alterem o valor da chave codificada.

Segundo a ESET, “Até agora, vimos o mesmo valor em todas as amostras do ransomware Android / Filecoder.C ”.