شناسایی باج افزار اندرویدی با قابلیت انتشار از طریق پیامک
به گزارش تنها پیامک، به گزارش خبرنگاران به نقل از مرکز ماهر، این ویروس باج گیر که Android / Filecoder.C نامگذاری شده است، از طریق پست های مخرب در فروم های آنلاین از جمله Reddit و XDA-Developers منتشر می شود.
مهاجمان برای فریب کاربران برای کلیک کردن روی لینک های آلوده در پست های ارسالی، از مضامین غیراخلاقی و در برخی موارد، موضوعات مرتبط با تکنولوژی استفاده می کنند.
این باج افزار بعد از نصب روی تلفن همراه قربانی، با ارسال لینک بدافزار از طریق پیامک به تمامی مخاطبان موجود در فهرست مخاطبین قربانی، تعداد قربانیان خود را افزایش می دهد.
بسته به تنظیمات زبان دستگاه آلوده، پیام ها در یکی از 42 نسخه ممکن زبان ارسال می شوند و نام مخاطب نیز به صورت اتوماتیک در پیام درج می شود.
پس از ارسال پیام ها، Filecoder دستگاه آلوده را اسکن می کند تا تمام فایل های ذخیره را پیدا و اکثر آن ها را رمزگذاری کند.
Filecoder انواع فایل ها از جمله فایل های متنی و تصاویر را رمزگذاری می کند اما فایل هایی با ویژگی های زیر را رمزگذاری نخواهد کرد:
فایل های موجود در مسیرهای حاوی رشته های .cache، tmp یا temp
فایل های دارای پسوند .zip و .rar
فایل های با اندازه بزرگ تر از 50 مگابایت
تصاویر دارای پسوند .jpeg، .jpg و .png و با اندازه کوچکتر از 150 کیلوبایت
فایل های اندرویدی مانند .apk و .dex
پس از آن، یک یادداشت دریافت باج نمایش داده می شود که مبلغ درخواستی آن حدود 98 تا 188 دلار و به صورت ارز رمزنگاری شده است.
این باج افزار برخلاف دیگر باج افزارهای اندرویدی، صفحه نمایش دستگاه را قفل نمی کند یا مانع از استفاده از تلفن هوشمند نمی شود، اما اگر قربانی برنامه را حذف کند، فایل ها رمزگشایی نخواهند شد.
Filecoder هنگام رمزگذاری محتویات دستگاه، یک کلید عمومی و یک کلید خصوصی ایجاد می کند. کلید خصوصی با یک الگوریتم RSA و یک مقدار به طور خاص کدگذاری شده، رمزگذاری شده است و برای مرکز کنترل و فرمان ارسال می شود. بنابراین اگر قربانی مبلغ درخواستی را پرداخت کند، مهاجم می تواند کلید خصوصی و در نتیجه فایل ها را رمزگشایی کند.
این بدافزار از آدرس های زیر به عنوان مرکز کنترل و فرمان خود استفاده می کند:
https://rich7.xyz
https://wevx.xyz
https://pastebin.com/raw/LQwGQ0RQ
متخصصان امنیت سایبری معتقدند که می توان فرایند رمزگشایی را با استفاده از کلید خصوصی و بدون پرداخت هزینه، انجام داد. آن ها ادعا می کنند که می توان فرایند رمزنگاری را به رمزگشایی تبدیل کرد. برای انجام چنین فرایندی، تنها به UserID نیاز خواهد بود که آن هم از سوی مجرم سایبری در پیام درخواست وجه، ارائه می شود.
به دلیل هدف گیری محدود و نقص در اجرای برنامه و رمزگذاری آن ، تأثیر این باج افزار جدید محدود است. با این وجود، اگر توسعه دهندگان، نقص ها را برطرف و اپراتورها شروع به هدف گیری گروه های وسیع تری از کاربران کنند، باج افزار Android / Filecoder.C می تواند تبدیل به یک تهدید جدی شود.
مرکز ماهر از کاربران خواست برای جلوگیری از آلودگی به این نوع از باج افزارها موارد زیر را رعایت کنند:
نصب برنامه ها از منابع معتبر
به روزرسانی سیستم عامل دستگاه
توجه به مجوزهای درخواستی برنامه ها
نصب آنتی ویروس و به روزرسانی آن
منبع: خبرگزاری مهر