De redactie van Dutchcowboys is te bereiken via redactie@dutchcowboys.nl
Ondanks dat Android-ransomware sinds 2017 aan het afzwakken is in populariteit, hebben ESET-onderzoekers recent toch een nieuwe ransomwarefamilie ontdekt: Android/Filecoder.C. Door gebruik te maken van de contactlijsten van de slachtoffers poogt het zich verder te verspreiden via sms’jes met kwaadaardige links.
Verspreiding via Reddit
Deze nieuwe ransomware werd gedistribueerd via porno-gerelateerde topics op Reddit. Het kwaadwillende profiel gebruikt voor het distribueren van de ransomware is gerapporteerd door ESET, maar blijft nog steeds actief. De campagne heeft ook kort gedraaid op het “XDA developers”-forum, een forum voor Android-ontwikkelaars; maar beheerders hebben daar de kwaadaardige posts inmiddels verwijderd.
“De campagne die we ontdekten is klein en wat amateuristisch. Echter, als de ontwikkelaars de tekortkomingen herstellen en de distributie geavanceerder wordt, kan deze nieuwe ransomware een serieuze dreiging worden,” zo laat Lukáš Štefanko, ESET-onderzoeker en hoofd van dit onderzoek, weten.
Distributiemechanisme
De nieuwe ransomware is opmerkelijk wegens zijn distributiemechanisme. Voordat bestanden versleuteld worden, wordt naar elk contact van de slachtoffer een sms-bericht gestuurd en worden ontvangers van de berichten verleid om op een kwaadaardige link te klikken waarna het ransomwarebestand geïnstalleerd wordt. “In theorie kan dit leiden naar een lading van infecties – al helemaal omdat de malware versies van het bericht in 42 talen heeft.” voegt Štefanko toe. “Gelukkig kunnen zelfs naïeve gebruikers zien dat het bericht slecht vertaald is en lijkt het erop dat sommige vertalingen niet eens logisch zijn.” Talen die worden gebruikt voor deze berichten zijn, onder andere, Engels, Afrikaans, Indonesisch en Iers. Geen Nederlands.
Naast dit non-traditionele distributiemechanisme, heeft Android/Fildecoder.C enkele afwijkingen in zijn encryptie. Grote archieven (meer dan 50 MB) en kleine afbeeldingen (onder 150 kB) worden buitengesloten en de lijst met “bestandtypen te versleutelen” bevat meerdere typen die niet aan Android toebehoren terwijl enkele typische extensies voor Android ontbreken. “Blijkbaar is de lijst gekopieerd van de beruchte WannaCry-ransomware,” aldus Štefanko.
De onorthodoxe aanpak van de malware-ontwikkelaars heeft nog meer intrigerende elementen: waar bij typische Android-ransomware de gebruiker geen toegang tot het apparaat meer heeft door een vergrendeld scherm is dat bij Android/Filecoder.C niet het geval. Daarnaast heeft het losgeld voor het ontsleutelen van de bestanden geen vaste waarde, maar wordt dit dynamisch bepaald door gebruik van een UserID die door de ransomware aan elk slachtoffer gekoppeld wordt. Dit proces resulteert in een unieke som losgeld, ergens tussen 0.01-0.02 bitcoins.
Nieuwe truc: unieke som losgeld
Volgens Štefanko is de truc met een unieke som losgeld nieuw. Dat hebben ze nog niet eerder gezien bij Android-ransomware. Het is waarschijnlijk bedoeld om betalingen aan slachtoffers te koppelen. Dit wordt doorgaans opgelost door een unieke Bitcoin-portefeuille te creëren voor elk versleuteld apparaat. In deze campagne is er ook maar één Bitcoin-portefeuille in gebruik gezien.
Android ransomware nog steeds een dreiging
Deze ontdekking laat zien dat ransomware nog steeds een dreiging vormt voor mobiele Android-apparaten. Om veilig te blijven, zijn er een paar eenvoudige dingen om te onthouden:
- Hou al je apparaten up-to-date. Idealiter heb je je apparaat zo ingesteld dat patches en updates automatisch uitgevoerd worden.
- Indien mogelijk, gebruik alleen Google Play of andere erkende appstores. Het komt wel eens voor dat deze appstores toch kwaadaardige apps bevatten, maar de kans is groot dat je ze nooit tegenkomt.
- Voordat je een app installeert, check de recensies en ratings. Kijk naar de negatieve feedback gezien die meestal door legitieme gebruikers wordt gegeven terwijl positieve feedback vaak door de aanvallers wordt geschreven.
- Kijk goed naar de machtigingen die de app vereist. Indien ze niet lijken te passen bij de functies van de app, kun je de app beter niet downloaden.
- Gebruik een erkende mobiele beveiligingsoplossing om je apparaat te beschermen.
[Fotocredits © Rawf8 – Adobe Stock]
Verder lezen over Android
Mobile16.10.2024
Android 15 is nu uit: wat brengt de update?
Mobile08.10.2024
Epic krijgt gelijk: Google houdt Android te dicht
Mobile07.10.2024
Google komt met hulp voor als je telefoon wordt gestolen
Gaming20.08.2024
Wololo! Age of Empires Mobile lancering op 17 oktober
Mobile13.08.2024
Alles wat je moet weten over de nieuwe Google Pixel 9
Gadgets23.07.2024
De nieuwe Chromecast is bijna tegenovergestelde van oude
Gadgets17.04.2024
Nieuwe kleurstelling OnePlus Watch 2 & OnePlus Pad Go worden op 23 april onthuld
Technology09.04.2024
Gevonden voorwerpen: Androids gaan zoekgeraakte gadgets vinden
Verder lezen over Hackers
Cybercrime11.10.2024
Het allerbelangrijkste gereedschap van cybercriminelen is JOUW browser!
Gebruik daarom liever apps op tablets of smartphones voor de allergevoeligste gegevensCybercrime08.10.2024
Unlock Digitale Weerbaarheid: leer online gevaren te herkennen
Cybercrime30.09.2024
De Gesprek Check is een extra controle-hulpmiddel van ABN AMRO
heb je echt de bank aan de telefoon?Cybercrime29.08.2024
TeamViewer heeft een groot cybersecurity-probleem
Cybercrime26.08.2024
Financiële fraude met phishingmethode specifiek gericht op Android & iOS
Cybercrime16.08.2024
Wielrenner, je racefiets kan gehackt worden
Cybercrime29.07.2024
Veel openbare WiFi netwerken in Parijs zijn onveilig
Cybercrime25.07.2024
Vigorish Viper: een Chinees cybercrimesyndicaat ontdekt door Infoblox
banden met Europese voetbalsponsors, mensenhandel en illegale gokindustrieVerder lezen over Malware
Cybercrime11.10.2024
Het allerbelangrijkste gereedschap van cybercriminelen is JOUW browser!
Gebruik daarom liever apps op tablets of smartphones voor de allergevoeligste gegevensCybercrime31.07.2024
Google Play bevat al jarenlang malware genaamd Mandrake
Cybercrime01.07.2024
Temu wordt nu zelfs bestempeld als gevaarlijke malware
Online20.05.2024
5 tips om online veilig te zijn
Cybercrime15.05.2024
App Store onderschept meer dan 7 miljard dollar aan mogelijk frauduleuze transacties
En dat in slechts 4 jaar tijdCybercrime08.05.2024
Cybercriminelen maken sneller misbruik van nieuwe kwetsbaarheden
Zo blijkt uit nieuw Global Threat Landscape Report van FortinetCybercrime05.02.2024
Consumenten bezuinigen op kosten, maar helaas ook op privacy en security
Online29.01.2024