Google Android
Eine neue Ransomware für mobile Geräte ist online aufgetaucht. Der mutierende und sich weiterentwickelnde digitale Virus zielt auf Smartphones ab, auf denen das Android-Betriebssystem von Google ausgeführt wird. Die Malware versucht, durch einfache, aber geschickt getarnte SMS-Nachrichten Zugang zu erhalten, und greift dann tief in das interne System des Mobiltelefons ein. Der neue Wurm hält nicht nur kritische und sensible Geiseln, sondern versucht auch aggressiv, sich über die Kommunikationsplattformen des kompromittierten Smartphones auf andere Opfer auszubreiten. Die neue Ransomware-Familie markiert einen wichtigen Meilenstein in Googles Android-Betriebssystem, der zunehmend als relativ sicher vor gezielten Cyber-Angriffen angesehen wurde.
Cyber-Sicherheitsexperten, die für den beliebten Entwickler von Antiviren-, Firewall- und anderen digitalen Schutzwerkzeugen ESET arbeiten, entdeckten eine neue Familie von Ransomware, die das mobile Android-Betriebssystem von Google angreifen soll. Das digitale Trojanische Pferd nutzt SMS, um sich zu verbreiten, stellten die Forscher fest. ESET-Forscher haben die neue Malware als Android / Filecoder.C bezeichnet und eine erhöhte Aktivität derselben beobachtet. Übrigens scheint die Ransomware recht neu zu sein, aber sie markiert das Ende eines zweijährigen Rückgangs der Erkennung neuer Android-Malware. Einfach ausgedrückt, scheinen Hacker ein erneutes Interesse an der Ausrichtung auf Smartphone-Betriebssysteme zu haben. Erst heute haben wir über mehrere berichtet Sicherheitslücken „Zero Interaction“, die im Apple iPhone iOS-Betriebssystem entdeckt wurden .
Filecoder seit Juli 2019 aktiv, aber durch cleveres Social Engineering schnell und aggressiv verbreitet
Nach Angaben des slowakischen Unternehmens für Virenschutz und Cybersicherheit wurde Filecoder kürzlich in freier Wildbahn beobachtet. ESET-Forscher behaupten, sie hätten bemerkt, dass sich die Ransomware seit dem 12. Juli 2019 aktiv verbreitet hat. Einfach ausgedrückt, die Malware scheint vor weniger als einem Monat aufgetaucht zu sein, aber ihre Auswirkungen könnten jeden Tag zunehmen.
Der Virus ist besonders interessant, da die Angriffe auf das Android-Betriebssystem von Google seit etwa zwei Jahren stetig zurückgehen. Dies führte zu der allgemeinen Annahme, dass Android größtenteils gegen Viren immun war oder dass Hacker nicht speziell auf Smartphones abzielten und stattdessen auf Desktop-Computer oder andere Hardware und Elektronik abzielten. Smartphones sind recht persönliche Geräte und können daher im Vergleich zu Geräten, die in Unternehmen und Organisationen verwendet werden, als begrenzte potenzielle Ziele angesehen werden. Das Targeting von PCs oder elektronischen Geräten in so großen Umgebungen bietet mehrere potenzielle Vorteile, da eine kompromittierte Maschine eine schnelle Möglichkeit bietet, mehrere andere Geräte zu kompromittieren. Dann geht es darum, Informationen zu analysieren, um vertrauliche Informationen herauszusuchen. Übrigens scheinen mehrere Hacking-Gruppen zu haben drehte sich um die Durchführung von Spionageangriffen in großem Maßstab .
SICHERHEITSWARNUNG: Android Ransomware FileCoder-Stamm: Auf Android ist ein neuer Stamm von Ransomware aufgetaucht #Handy, Mobiltelefon Geräte. Es richtet sich an Personen, auf denen das Betriebssystem Android 5.1 und höher ausgeführt wird. Diese Android-Ransomware-Sorte wurde von… https://t.co/edFpo45qbp pic.twitter.com/9r39kxS5iB
- Aquia Solutions (@AquiaSolutions) 30. Juli 2019
Die neue Ransomware hingegen versucht lediglich, den Besitzer des Android-Smartphones am Zugriff auf persönliche Informationen zu hindern. Es gibt keinen Hinweis darauf, dass die Malware versucht, persönliche oder vertrauliche Informationen zu verlieren oder zu stehlen oder andere Nutzdaten wie Keylogger oder Aktivitäts-Tracker zu installieren, um Zugriff auf Finanzinformationen zu erhalten.
Wie verbreitet sich Filecoder Ransomware auf dem Google Android-Betriebssystem?
Forscher haben herausgefunden, dass sich die Filecoder-Ransomware über ein Android-Messaging- oder SMS-System verbreitet, ihr Ursprung jedoch anderswo liegt. Der Virus scheint durch böswillige Posts in Online-Foren wie Reddit und den XDA-Entwicklern des Android Developer Messaging Board zu starten. Nachdem ESET auf die böswilligen Beiträge hingewiesen hatte, ergriffen XDA-Entwickler rasch Maßnahmen und schalteten die verdächtigen Medien aus, aber der fragliche Inhalt war zum Zeitpunkt der Veröffentlichung auf Reddit noch verfügbar.
Die meisten böswilligen Beiträge und Kommentare von ESET versuchen, Opfer zum Herunterladen der Malware zu verleiten. Der Virus zieht das Opfer an, indem er den Inhalt nachahmt, der normalerweise mit pornografischem Material verbunden ist. In einigen Fällen beobachteten die Forscher auch einige technische Themen, die als Köder verwendet wurden. In den meisten Fällen enthielten die Angreifer jedoch Links oder QR-Codes, die auf die schädlichen Apps verweisen.
Um eine sofortige Erkennung vor dem Zugriff zu vermeiden, werden die Links der Malware als bit.ly-Links maskiert. In der Vergangenheit wurden mehrere solcher Websites zur Linkverkürzung verwendet, um ahnungslose Internetnutzer auf bösartige Websites zu leiten, Phishing und andere Cyberangriffe durchzuführen.
Hacker, die Android-Ransomware per SMS an Ihre Kontakte verbreiten und Ihre Gerätedateien verschlüsseln: Eine neue Familie von Android-Ransomware namens Android / Filecoder.C hat verschiedene Online-Foren verteilt und verwendet die Kontaktliste des Opfers für SMS mit einem… https://t.co/ddqwtfswl5 pic.twitter.com/6PJjmNyZKB
- Shah Sheikh (@shah_sheikh) 30. Juli 2019
Sobald sich die Filecoder-Ransomware fest in das Android-Mobilgerät des Opfers eingepflanzt hat, werden die Benutzerinformationen nicht sofort gesperrt. Stattdessen greift die Malware zuerst die Kontakte des Android-Systems an. Die Forscher beobachteten ein interessantes, aber störend aggressives Verhalten der Filecoder-Ransomware. Im Wesentlichen durchsucht die Malware die Kontaktliste des Opfers schnell, aber gründlich, um sich selbst zu verbreiten.
Die Malware versucht, eine sorgfältig formulierte, automatisch generierte Textnachricht an jeden Eintrag in der Kontaktliste des Android-Mobilgeräts zu senden. Um die Wahrscheinlichkeit zu erhöhen, dass potenzielle Opfer auf die Ransomware klicken und diese herunterladen, setzt der Filecoder-Virus einen interessanten Trick ein. Der in der verschmutzten Textnachricht enthaltene Link wird als App beworben. Noch wichtiger ist, dass die Malware sicherstellt, dass die Nachricht das Profilfoto des potenziellen Opfers enthält. Darüber hinaus wird das Foto sorgfältig so positioniert, dass es in eine App passt, die das Opfer bereits verwendet. In Wirklichkeit handelt es sich um eine böswillige gefälschte App, die die Ransomware enthält.
Noch besorgniserregender ist die Tatsache, dass die Filecoder-Ransomware mehrsprachig codiert ist. Mit anderen Worten, abhängig von der Spracheinstellung des infizierten Geräts können die Nachrichten in einer von 42 möglichen Sprachversionen gesendet werden. Die Malware fügt außerdem automatisch den Namen des Kontakts in die Nachricht ein, um die wahrgenommene Authentizität zu erhöhen.
Wie infiziert und funktioniert der Filecoder Ransomware?
Die von der Malware generierten Links enthalten normalerweise eine App, die versucht, Opfer anzulocken. Der eigentliche Zweck der gefälschten App besteht darin, diskret im Hintergrund zu laufen. Diese App enthält fest codierte C2-Einstellungen (Command-and-Control) sowie Bitcoin-Wallet-Adressen im Quellcode. Die Angreifer haben auch die beliebte Online-Plattform zum Teilen von Notizen Pastebin verwendet, die jedoch nur als Kanal für das dynamische Abrufen und möglicherweise weitere Infektionspunkte dient.
Nachdem die Filecoder-Ransomware die verschmutzte SMS stapelweise erfolgreich gesendet und die Aufgabe abgeschlossen hat, durchsucht sie das infizierte Gerät nach allen Speicherdateien und verschlüsselt die meisten davon. ESET-Forscher haben herausgefunden, dass die Malware alle Arten von Dateierweiterungen verschlüsselt, die üblicherweise für Textdateien, Bilder, Videos usw. verwendet werden. Aus irgendeinem Grund bleiben jedoch Android-spezifische Dateien wie .apk oder .dex übrig. Die Malware berührt auch keine komprimierten .Zip- und .RAR-Dateien sowie Dateien mit mehr als 50 MB. Die Forscher vermuten, dass die Malware-Ersteller möglicherweise schlecht kopiert und eingefügt haben, um Inhalte aus WannaCry, einer weitaus strengeren und produktiveren Form von Ransomware, zu entfernen. Alle verschlüsselten Dateien werden mit der Erweiterung '.seven' angehängt.
Forscher entdecken Android / Filecoder.C, eine neue Android-Ransomware-Familie, die versucht, sich auf die Kontakte der Opfer auszudehnen, und einige ungewöhnliche Tricks anwendet https://t.co/5iCvkVbAND @welivesecurity @FALL #ransomware #Android pic.twitter.com/d150eY4N7X
- David Bisson (@DMBisson) 30. Juli 2019
Nach erfolgreicher Verschlüsselung der Dateien auf dem Android-Mobilgerät blinkt die Ransomware eine typische Lösegeldnotiz mit Anforderungen. Forscher haben festgestellt, dass die Filecoder-Ransomware Anforderungen an die Kryptowährung zwischen 98 und 188 US-Dollar stellt. Um ein Gefühl der Dringlichkeit zu erzeugen, verfügt die Malware auch über einen einfachen Timer, der etwa 3 Tage oder 72 Stunden dauert. In der Lösegeldnotiz wird auch erwähnt, wie viele Dateien als Geiseln gehalten werden.
Interessanterweise sperrt Ransomware den Gerätebildschirm nicht und verhindert nicht die Verwendung eines Smartphones. Mit anderen Worten, Opfer können weiterhin ihr Android-Smartphone verwenden, haben jedoch keinen Zugriff auf ihre Daten. Selbst wenn die Opfer die böswillige oder verdächtige App irgendwie deinstallieren, werden die Änderungen nicht rückgängig gemacht oder die Dateien entschlüsselt. Der Dateicoder generiert ein öffentliches und ein privates Schlüsselpaar, wenn der Inhalt eines Geräts verschlüsselt wird. Der öffentliche Schlüssel wird mit einem leistungsstarken RSA-1024-Algorithmus und einem fest codierten Wert verschlüsselt, der an die Ersteller gesendet wird. Nachdem das Opfer die angegebenen Bitcoin-Daten bezahlt hat, kann der Angreifer den privaten Schlüssel entschlüsseln und an das Opfer weitergeben.
Filecoder ist nicht nur aggressiv, sondern auch komplex:
ESET-Forscher hatten zuvor berichtet, dass der fest codierte Schlüsselwert zum Entschlüsseln von Dateien verwendet werden kann, ohne die Erpressungsgebühr zu zahlen, indem „der Verschlüsselungsalgorithmus in einen Entschlüsselungsalgorithmus geändert wird“. Kurz gesagt, die Forscher waren der Ansicht, dass die Entwickler der Filecoder-Ransomware versehentlich eine recht einfache Methode zum Erstellen eines Entschlüsselers zurückgelassen hatten.
„Aufgrund der engen Ausrichtung und der Fehler bei der Ausführung der Kampagne und der Implementierung ihrer Verschlüsselung sind die Auswirkungen dieser neuen Ransomware begrenzt. Wenn die Entwickler die Fehler beheben und die Betreiber jedoch eine breitere Benutzergruppe ansprechen, kann die Ransomware Android / Filecoder.C zu einer ernsthaften Bedrohung werden. “
Das Forscher haben ihren Beitrag über die Filecoder-Ransomware aktualisiert und stellte klar, dass 'dieser' fest codierte Schlüssel 'ein öffentlicher RSA-1024-Schlüssel ist, der nicht leicht beschädigt werden kann, weshalb die Erstellung eines Entschlüsselers für diese bestimmte Ransomware nahezu unmöglich ist.'
Seltsamerweise stellten die Forscher auch fest, dass der Ransomware-Code nichts enthält, was die Behauptung stützt, dass die betroffenen Daten nach Ablauf des Countdown-Timers verloren gehen. Darüber hinaus scheinen die Urheber der Malware mit dem Lösegeldbetrag zu spielen. Während 0,01 Bitcoin oder BTC Standard bleiben, scheinen die nachfolgenden Nummern die von der Malware generierte Benutzer-ID zu sein. Forscher vermuten, dass diese Methode als Authentifizierungsfaktor dienen könnte, um die eingehenden Zahlungen mit dem Opfer abzugleichen, um den Entschlüsselungsschlüssel zu generieren und zu versenden.
Stichworte Android
