El ransomware, aquel programa malicioso que restringe el acceso a determinadas partes o archivos del sistema operativo infectado, pidiendo un rescate para recuperar estos es bastante común por estar dirigido a computadoras en un ambiente corporativo. Después de dos años la demanda de registros de ransomware para Android ha bajado considerablemente, a pesar de ello, hace unos días atrás se ha registrado una nueva familia de este tipo de amenazas.
Apodado como Android/Filecoder.C, esta amenaza ha sido distribuida a través de varios foros en línea. Usando las listas de contactos de las víctimas, se ha propagado aún más a través de mensajes SMS con links maliciosos. Debido a los objetivos limitados, y las fallas en la ejecución de la campaña, hace que el impacto de este nuevo ransomware aún no tenga tanta repercusión. Sin embargo, si los atacantes comienzan a apuntar a grupos más amplios de usuarios, Android/Filecoder.C podría convertirse en una seria amenaza.
Android/Filecoder.C ha estado activo desde el 12 julio de 2019 aproximadamente. Dentro de la campaña la investigación reveló que los foros de distribución fueron a través de mensajes maliciosos en Reddit y el foro “XDA Developers”, un foro para desarrolladores de Android. La forma de distribución en su mayoría, abarca temas relacionados con la pornografía y también se han visto casos de noticias y ofertas de tecnología utilizadas como señuelo. En todos los comentarios o publicaciones, los atacantes incluían enlaces o códigos QR que apuntaban a las aplicaciones maliciosas.
El ransomware cuenta con 42 versiones de idioma de la plantilla de mensaje SMS, y se ecarga de eligir la versión que se ajuste a la configuración de idioma del dispositivo víctima para añadir mas personalización a estos mensajes, el malware antepone el nombre del contacto.
Una vez que las víctimas reciben un mensaje SMS con el enlace a la aplicación maliciosa, deben instalarla manualmente, una vez iniciada, muestra lo que se promete en las publicaciones que lo distribuyen; sin embargo, sus propósitos principales son la comunicación con el servidor de comando y control (C2), difundir mensajes maliciosos e implementar el mecanismo de cifrado/descifrado.
Una vez infectado, el ransomware revisa los archivos en el almacenamiento accesible, es decir, todo el almacenamiento del dispositivo (Interno y Externo), excepto donde residen los archivos del sistema. Al cifrar archivos, el ransomware genera una nueva clave AES para cada archivo. Esta clave AES se cifra utilizando la clave pública y se antepone a cada archivo cifrado, lo que da como resultado el siguiente patrón: ((AES) public_key + (File) AES) .seven.
REFERENCIA
COMENTARIOS