Ransomware mới khai thác tin nhắn SMS đơn giản trên hệ điều hành Android của Google và sau đó phát tán dữ dội đến các liên hệ được lưu trữ bằng cách sử dụng ảnh của nạn nhân

Một ransomware mới dành cho thiết bị di động đã xuất hiện trực tuyến. Virus kỹ thuật số đang phát triển và đột biến nhắm mục tiêu vào điện thoại thông minh chạy hệ điều hành Android của Google. Phần mềm độc hại cố gắng xâm nhập thông qua tin nhắn SMS đơn giản nhưng được ngụy trang khéo léo, sau đó đào sâu vào hệ thống nội bộ của điện thoại di động. Bên cạnh việc bắt giữ những con tin quan trọng và nhạy cảm, loại sâu mới còn cố gắng lây lan sang các nạn nhân khác thông qua các nền tảng giao tiếp của điện thoại thông minh bị xâm phạm. Dòng ransomware mới đánh dấu một cột mốc quan trọng nhưng đáng lo ngại trong hệ điều hành Android của Google ngày càng được coi là tương đối an toàn trước các cuộc tấn công mạng có chủ đích.

Các chuyên gia an ninh mạng làm việc cho nhà phát triển ESET chống vi-rút, tường lửa và các công cụ bảo vệ kỹ thuật số phổ biến khác, đã phát hiện ra một nhóm ransomware mới được thiết kế để tấn công hệ điều hành di động Android của Google. Các nhà nghiên cứu lưu ý rằng con ngựa Trojan kỹ thuật số sử dụng tin nhắn SMS để phát tán. Các nhà nghiên cứu của ESET đã đặt tên cho phần mềm độc hại mới là Android / Filecoder.C và đã quan sát thấy hoạt động tương tự ngày càng gia tăng. Ngẫu nhiên, ransomware có vẻ khá mới, nhưng nó đánh dấu sự kết thúc của sự sụt giảm hai năm trong việc phát hiện phần mềm độc hại Android mới. Nói một cách đơn giản, có vẻ như tin tặc đã quan tâm đến việc nhắm mục tiêu vào các hệ điều hành điện thoại thông minh. Mới hôm nay, chúng tôi đã báo cáo về nhiều Các lỗ hổng bảo mật “Zero Interaction” đã được phát hiện trong hệ điều hành Apple iPhone iOS.

Filecoder hoạt động từ tháng 7 năm 2019 nhưng lan truyền nhanh chóng và mạnh mẽ thông qua kỹ thuật xã hội thông minh

Theo công ty an ninh mạng và chống vi-rút của Slovakia, Filecoder đã được quan sát thấy trong tự nhiên gần đây. Các nhà nghiên cứu của ESET tuyên bố họ đã nhận thấy phần mềm tống tiền chủ động lây lan kể từ ngày 12 tháng 7 năm 2019. Nói một cách đơn giản, phần mềm độc hại này dường như đã xuất hiện cách đây chưa đầy một tháng, nhưng tác động của nó có thể tăng lên mỗi ngày.

Loại vi-rút này đặc biệt thú vị vì các cuộc tấn công vào hệ điều hành Android của Google đã giảm đều đặn trong khoảng hai năm. Điều này tạo ra nhận thức chung rằng Android hầu hết miễn nhiễm với vi rút hoặc tin tặc không đặc biệt truy lùng điện thoại thông minh, thay vào đó, nhắm mục tiêu vào máy tính để bàn hoặc phần cứng và thiết bị điện tử khác. Điện thoại thông minh là thiết bị khá cá nhân và do đó chúng có thể được coi là mục tiêu tiềm năng hạn chế so với các thiết bị được sử dụng trong các công ty và tổ chức. Nhắm mục tiêu máy tính hoặc thiết bị điện tử trong các cài đặt lớn như vậy có một số lợi ích tiềm năng vì một máy bị xâm nhập có thể cung cấp một cách nhanh chóng để xâm nhập một số thiết bị khác. Sau đó là vấn đề phân tích thông tin để chọn ra những thông tin nhạy cảm. Ngẫu nhiên, một số nhóm hack dường như có xoay quanh việc tiến hành các cuộc tấn công gián điệp quy mô lớn.

Mặt khác, ransomware mới chỉ cố gắng hạn chế chủ sở hữu của điện thoại thông minh Android truy cập thông tin cá nhân. Không có dấu hiệu nào cho thấy phần mềm độc hại cố gắng làm rò rỉ hoặc lấy cắp thông tin cá nhân hoặc thông tin nhạy cảm hoặc cài đặt các tải trọng khác như keylogger hoặc trình theo dõi hoạt động để thử và giành quyền truy cập vào thông tin tài chính.

Filecoder Ransomware lây lan trên hệ điều hành Android của Google như thế nào?

Các nhà nghiên cứu đã phát hiện ra phần mềm tống tiền Filecoder lây lan qua hệ thống nhắn tin hoặc SMS của Android, nhưng điểm xuất phát của nó là ở nơi khác. Virus dường như đang phát tán thông qua các bài đăng độc hại trên các diễn đàn trực tuyến bao gồm Reddit và bảng nhắn tin dành cho nhà phát triển Android XDA Developers. Sau khi ESET chỉ ra các bài đăng độc hại, XDA Developers đã nhanh chóng hành động và gỡ bỏ các phương tiện bị nghi ngờ, nhưng nội dung đáng ngờ vẫn được đưa lên tại thời điểm xuất bản trên Reddit.

Hầu hết các bài đăng và nhận xét độc hại mà ESET tìm thấy đều cố gắng thu hút nạn nhân tải xuống phần mềm độc hại. Virus xâm nhập vào nạn nhân bằng cách bắt chước nội dung thường liên quan đến tài liệu khiêu dâm. Trong một số trường hợp, các nhà nghiên cứu cũng quan sát thấy một số chủ đề kỹ thuật được sử dụng làm bả. Trong hầu hết các trường hợp, những kẻ tấn công bao gồm các liên kết hoặc mã QR trỏ đến các ứng dụng độc hại.

Để tránh bị phát hiện ngay lập tức trước khi bị truy cập, các liên kết của phần mềm độc hại được che dưới dạng liên kết bit.ly. Một số trang web rút ngắn liên kết như vậy đã được sử dụng trong quá khứ để hướng những người dùng Internet không nghi ngờ đến các trang web độc hại, thực hiện lừa đảo và các cuộc tấn công mạng khác.

Sau khi phần mềm ransomware Filecoder đã gắn chặt vào thiết bị di động Android của nạn nhân, nó sẽ không bắt đầu khóa thông tin của người dùng ngay lập tức. Thay vào đó, phần mềm độc hại sẽ tấn công danh bạ của hệ thống Android trước tiên. Các nhà nghiên cứu đã quan sát thấy một số hành vi thú vị nhưng đáng lo ngại của ransomware Filecoder. Về cơ bản, phần mềm độc hại sàng lọc nhanh chóng nhưng kỹ lưỡng trong danh sách liên hệ của nạn nhân để tự lây lan.

Phần mềm độc hại cố gắng gửi một tin nhắn văn bản được tạo tự động bằng từ ngữ cẩn thận tới mọi mục nhập trong danh sách liên hệ của thiết bị di động Android. Để tăng khả năng các nạn nhân tiềm năng nhấp vào và tải xuống phần mềm tống tiền, vi rút Filecoder triển khai một thủ thuật thú vị. Liên kết có trong tin nhắn văn bản bị ô nhiễm được quảng cáo như một ứng dụng. Quan trọng hơn, phần mềm độc hại đảm bảo tin nhắn chứa ảnh hồ sơ của nạn nhân tiềm năng. Hơn nữa, bức ảnh được định vị cẩn thận để vừa với ứng dụng mà nạn nhân đang sử dụng. Trên thực tế, nó là một ứng dụng giả mạo độc hại chứa ransomware.

Điều đáng quan tâm hơn nữa là thực tế là phần mềm tống tiền Filecoder được mã hóa để sử dụng đa ngôn ngữ. Nói cách khác, tùy thuộc vào cài đặt ngôn ngữ của thiết bị bị nhiễm, tin nhắn có thể được gửi bằng một trong 42 phiên bản ngôn ngữ có thể có. Phần mềm độc hại cũng tự động chèn tên của người liên hệ trong tin nhắn để tăng tính xác thực theo nhận thức.

Filecoder Ransomware lây nhiễm và hoạt động như thế nào?

Các liên kết mà phần mềm độc hại đã tạo thường chứa một ứng dụng cố gắng thu hút nạn nhân. Mục đích thực sự của ứng dụng giả mạo là chạy ngầm một cách kín đáo. Ứng dụng này chứa cài đặt lệnh và kiểm soát (C2) được mã hóa cứng, cũng như địa chỉ ví Bitcoin, trong mã nguồn của nó. Những kẻ tấn công cũng đã sử dụng nền tảng chia sẻ ghi chú trực tuyến phổ biến Pastebin, nhưng nó chỉ đóng vai trò như một đường dẫn để truy xuất động và có thể là các điểm lây nhiễm xa hơn.

Sau khi ransomware Filecoder đã gửi thành công SMS bị nhiễm độc theo lô và hoàn thành nhiệm vụ, nó sẽ quét thiết bị bị nhiễm để tìm tất cả các tệp lưu trữ và mã hóa phần lớn chúng. Các nhà nghiên cứu của ESET đã phát hiện ra phần mềm độc hại này sẽ mã hóa tất cả các loại phần mở rộng tệp thường được sử dụng cho tệp văn bản, hình ảnh, video, v.v. Nhưng vì một số lý do, nó để lại các tệp dành riêng cho Android như .apk hoặc .dex. Phần mềm độc hại cũng không chạm vào các tệp .Zip và .RAR được nén và các tệp có dung lượng trên 50 MB. Các nhà nghiên cứu nghi ngờ rằng, những kẻ tạo ra phần mềm độc hại có thể đã thực hiện một công việc sao chép kém để loại bỏ nội dung khỏi WannaCry, một dạng ransomware nghiêm trọng và phổ biến hơn nhiều. Tất cả các tệp được mã hóa đều được nối với phần mở rộng “.seven”

Sau khi mã hóa thành công các tệp trên thiết bị di động Android, ransomware sau đó sẽ nhấp nháy một ghi chú đòi tiền chuộc điển hình. Các nhà nghiên cứu đã nhận thấy ransomware Filecoder đưa ra các yêu cầu từ khoảng 98 đô la đến 188 đô la tiền điện tử. Để tạo cảm giác cấp bách, phần mềm độc hại này cũng có một bộ đếm thời gian đơn giản kéo dài trong khoảng 3 ngày hoặc 72 giờ. Ghi chú tiền chuộc cũng đề cập đến việc nó đang bắt giữ bao nhiêu tệp tin làm con tin.

Điều thú vị là ransomware không khóa màn hình thiết bị hoặc ngăn không cho sử dụng điện thoại thông minh. Nói cách khác, nạn nhân vẫn có thể sử dụng điện thoại thông minh Android của họ, nhưng sẽ không có quyền truy cập vào dữ liệu của họ. Hơn nữa, ngay cả khi nạn nhân bằng cách nào đó gỡ cài đặt ứng dụng độc hại hoặc bị nghi ngờ, nó không hoàn tác các thay đổi hoặc giải mã các tệp. Filecoder tạo cặp khóa công khai và riêng tư khi mã hóa nội dung của thiết bị. Khóa công khai được mã hóa bằng thuật toán RSA-1024 mạnh mẽ và giá trị được mã hóa cứng được gửi đến người tạo. Sau khi nạn nhân thanh toán thông qua các chi tiết Bitcoin được cung cấp, kẻ tấn công có thể giải mã khóa cá nhân và giải phóng nó cho nạn nhân.

Filecoder không chỉ hung hăng mà còn phức tạp để thoát khỏi:

Các nhà nghiên cứu của ESET trước đó đã báo cáo rằng giá trị khóa được mã hóa cứng có thể được sử dụng để giải mã các tệp mà không phải trả phí tống tiền bằng cách “thay đổi thuật toán mã hóa thành thuật toán giải mã”. Nói tóm lại, các nhà nghiên cứu cảm thấy những người tạo ra mã độc Filecoder đã vô tình để lại một phương pháp khá đơn giản để tạo ra một chương trình giải mã.

“Do nhắm mục tiêu hẹp và các sai sót trong cả quá trình thực hiện chiến dịch và việc thực hiện mã hóa của nó, tác động của phần mềm tống tiền mới này bị hạn chế. Tuy nhiên, nếu các nhà phát triển sửa lỗi và các nhà điều hành bắt đầu nhắm mục tiêu đến các nhóm người dùng rộng hơn, thì phần mềm tống tiền Android / Filecoder.C có thể trở thành một mối đe dọa nghiêm trọng ”.

Các nhà nghiên cứu đã cập nhật bài đăng của họ về ransomware Filecoder và làm rõ rằng "'khóa mã cứng' này là khóa công khai RSA-1024, không thể dễ dàng bị phá vỡ, do đó, việc tạo ra một trình giải mã cho ransomware cụ thể này gần như là không thể."

Thật kỳ lạ, các nhà nghiên cứu cũng nhận thấy rằng không có gì trong mã của ransomware để hỗ trợ tuyên bố rằng dữ liệu bị ảnh hưởng sẽ bị mất sau khi đồng hồ đếm ngược kết thúc. Hơn nữa, những người tạo ra phần mềm độc hại dường như đang chơi với số tiền chuộc. Trong khi 0,01 Bitcoin hoặc BTC vẫn là tiêu chuẩn, các con số tiếp theo dường như là ID người dùng do phần mềm độc hại tạo ra. Các nhà nghiên cứu nghi ngờ phương pháp này có thể đóng vai trò như một yếu tố xác thực để khớp các khoản thanh toán đến với nạn nhân để tạo và gửi khóa giải mã.