Что бы избежать подобных СМС атак используйте временные номера телефонов и никогда не указывайте личный номер на подозрительных сайтах
Android-вымогатель, получивший название Android / Filecoder.C, был активен по крайней мере с 12 июля, когда исследователи обнаружили его по двум ссылкам на домены. Эти ссылки были распространены в основном на интернет-форумах, в том числе через Reddit в сообщениях, которые были связаны между собой, или через форум для разработчиков Android под названием «XDA Developers» в разделах, связанных с техническим темам.
«Используя списки контактов жертв, он распространяется дальше через SMS с вредоносными ссылками. Из-за узкого таргетинга и недостатков в проведении кампании, влияние этого нового вымогателя ограничено», - сказал Лукас Стефанко из ESET в анализе вымогателей. «Однако, если операторы начнут ориентироваться на более широкие группы пользователей, вымогатель Android / Filecoder.C может стать серьезной угрозой».
Помимо онлайн-форумов, исследователи обнаружили, что вредоносные ссылки распространяются с помощью SMS-сообщений. После заражения жертвы вымогатель также отправляет вредоносные ссылки доменов с помощью SMS-сообщений в список контактов жертвы. Эти SMS-сообщения добавляют определенный уровень срочности и персонализации, чтобы настроить контакты для их открытия, поскольку они используют имя контакта, указанное в SMS-сообщении, и сообщают контакту, что их фотографии используются в игре секс-симуляции.
«Эти сообщения включают ссылки на вымогателей; чтобы повысить интерес потенциальных жертв, ссылка представлена в виде ссылки на приложение, которое предположительно использует фотографии потенциальных жертв», - сказал Стефанко.
Целям отправляется ссылка на вредоносное приложение, которое должно быть установлено жертвами вручную. После запуска приложения оно отображает все, что обещано, через распространяемые им посты - чаще всего, онлайн-симулятор.
Но за кулисами вымогатель активируется, запускает командно-контрольную связь, распространяет вредоносные сообщения на другие контакты жертв и внедряет механизм шифрования и дешифрования. Android-вымогатель Android / Filecoder.C
Программа-вымогатель шифрует различные типы файлов, включая DOC, PPT, JPEG и другие. При этом вредоносная программа оставляет файлы незашифрованными, если расширение файла составляет .zip или .rar, а размер файла превышает 51 200 КБ / 50 МБ. Кроме того, файлы JPEG, JPG и PNG с размером файла менее 150 КБ также не шифруются.
После шифрования файлов жертвы вымогатель отображает в приложении записку с требованием выкупа с запросом платежа в биткойнах. Примечание выкупа предупреждает, что данные будут потеряны через 72 часа, и что файлы не будут расшифрованы, даже если приложение было удалено.
«Это правда, что если жертва удалит приложение, вымогатель не сможет расшифровать файлы, как указано в записке с требованием выкупа», - сказали исследователи. «Кроме того, согласно нашему анализу, в коде вымогателя нет ничего, подтверждающего утверждение, что затронутые данные будут потеряны через 72 часа».
Хотя исследователи не говорят, сколько из них было заражено, при проверке одной такой битовой ссылки, распространенной на Reddit, Стефанко сказал, что она достигла 59 кликов из разных источников и стран.
Исследователи призвали жертв Android избегать атак, обновляя устройства и следя за загрузкой приложений в Google Play. Устройства Android сталкиваются с множеством угроз: новое поколение вредоносных программ для Android под названием «Агент Смит» заразило 25 миллионов мобильных телефонов, чтобы заменить законные приложения на двойников, которые показывают мошенническую рекламу, утверждают исследователи. Исследователи также обнаружили троянскую программу удаленного доступа для Android под названием Monokle, использующую новейшие технологии для эксфильтрации данных.