[Cảnh Báo] Phát hiện mã độc mã hóa tống tiền mới trên Android sử dụng tin nhắn SMS để phát tán và lây nhiễm
Android/Filecoder.C (FileCoder) - một biến thể mã độc mã hóa tống tiền (Ransomware) nhắm mục tiêu vào các thiết bị Android, được phát tán và lât nhiễm thong qua các tin nhắn SMS vừa được các nhà nghiên cứu bảo mật thuộc hãng bảo mật ESET phát hiện. Tại thời điểm phát hiện, mã độc này đang nhắm mục tiêu đến các thiết bị chạy hệ điều hành Android 5.1 trở lên.
![[Cảnh Báo] Phát hiện mã độc mã hóa tống tiền mới trên Android sử dụng tin nhắn SMS để phát tán và lây nhiễm - Cyebersec365.org](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgILAU_fxJYL383Fn4IMg57r8MVdHyIoyHmh-gO79VUnOAglYylEuTmYGRkLgwckwkteadayEgLpAsBdrcGSubNrEqoVqVfHq8g_pOWqznQ5BBO1qxW5R4FfrPNdRsFM0cju4t-x_GSzcIh/s1600/2019-07-30_11-12-44.jpg "[Cảnh Báo] Phát hiện mã độc mã hóa tống tiền mới trên Android sử dụng tin nhắn SMS để phát tán và lây nhiễm - Cyebersec365.org") |
| [Cảnh Báo] Phát hiện mã độc mã hóa tống tiền mới trên Android sử dụng tin nhắn SMS để phát tán và lây nhiễm - Cyebersec365.org |
Cụ thể, theo các nhà nghiên cứu bảo mật tại ESET, do nhắm mục tiêu hẹp và sai sót trong cả việc thực hiện chiến dịch và thực hiện mã hóa, nên tác động của chiến dịch phát tán ransomware mới này bị hạn chế.
"Sau khi phần mềm ransomware gửi ra hàng loạt SMS độc hại này, nó mã hóa hầu hết các tệp người dùng trên thiết bị và yêu cầu tiền chuộc. Do mã hóa bị lỗi, có thể giải mã các tệp bị ảnh hưởng mà không cần bất kỳ sự trợ giúp nào từ kẻ tấn công", ESET cho biết thêm.
Mặc dù vậy, nếu các nhà phát triển của ransomware quản lý để sửa "sản phẩm của họ", rất nhiều người dùng Android có thể gặp phải một chủng phần mềm độc hại rất nguy hiểm và có khả năng phá hủy cao.
Mã độc mã hóa tống tiền sử dụng tin nhắn SMS để lây nhiễm.
Mã độc mã hóa tống tiền FileCoder lần đầu tiên được ESET phát hiện trong một chiến dịch kéo dài đến ngày 12 tháng 7, những kẻ tấn công phát tán tải trọng độc hại của chúng thông qua các bài đăng trên Reddit và trên cộng đồng phát triển phần mềm di động XDA Developers.
Trong khi XDA đã xóa các bài đăng độc hại sau khi được thông báo, các bài trên Reddit vẫn hoạt động và tại thời điểm nhà nghiên cứu phần mềm độc hại ESET Lukas Stefanko công bố phân tích phần mềm độc hại FileCoder.
Các nhà phát triển của FileCoder sử dụng hai máy chủ để phân phối ransomware, với các tải trọng độc hại được liên kết từ cả các tin nhắn văn bản độc hại được gửi đến toàn bộ danh sách liên lạc của nạn nhân và từ các bài đăng trên diễn đàn của Reddit và XDA.
![[Cảnh Báo] Phát hiện mã độc mã hóa tống tiền mới trên Android sử dụng tin nhắn SMS để phát tán và lây nhiễm - Cyebersec365.org](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiO4b9uemwK10zG8dw0ecWhG3AvM0iwzHQ7MIEIb8j4pUz3EGcmC9-H3bG5iMB74awFbhD05pb64gjhqgu9ixZhmXUXAfnSmudXcDeGV901XZb4a_cvQ5Y_Ju_fUrUgomjsn5py2Au8hr5n/s1600/2019-07-30_11-27-33.jpg "[Cảnh Báo] Phát hiện mã độc mã hóa tống tiền mới trên Android sử dụng tin nhắn SMS để phát tán và lây nhiễm - Cyebersec365.org") |
| [Cảnh Báo] Phát hiện mã độc mã hóa tống tiền mới trên Android sử dụng tin nhắn SMS để phát tán và lây nhiễm - Cyebersec365.org |
Các mẫu ransomware cũng được liên kết với mã QR giúp người dùng di động nhận được các tệp APK độc hại trên thiết bị của họ và cài đặt chúng trên thiết bị của họ nhanh hơn.
Để làm mồi nhử để thuyết phục các nạn nhân cài đặt các ứng dụng Android độc hại trên thiết bị của họ, các nhà khai thác của FileCoder sẽ nói rằng ứng dụng này "supposedly uses the potential victim’s photos"
Như BleepingComputer tìm thấy khi phân tích mẫu FileCoder, trong khi được cài đặt trên thiết bị Android của nạn nhân, phần mềm độc hại sẽ yêu cầu các quyền sau:
android.permission.SET_WALLPAPERĐể tối đa hóa phạm vi tiếp cận, mã độc mã hóa tống tiền này đã chuẩn bị sẵn 42 mẫu tin nhắn ở 42 ngôn ngữ khác nhau. Trước khi gởi tin nhắn phát tán mã độc, nó sẽ lựa chọn mẫu tin nhắn phù hợp với ngôn ngữ được cài đặt sẵn trên thiết bị của nạn nhân.
android.permission.WRITE_EXTERNAL_STORAGE
android.permission.READ_EXTERNAL_STORAGE
android.permission.READ_CONTACTS
android.permission.RECEIVE_BOOT_COMPLETED
android.permission.SEND_SMS
android.permission.INTERNET
![[Cảnh Báo] Phát hiện mã độc mã hóa tống tiền mới trên Android sử dụng tin nhắn SMS để phát tán và lây nhiễm - Cyebersec365.org](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgt8b61o8AqJa2Xpu6gheTJ30Hh33k1WU7DQms4L6wNzjlN0LmzuL4TIE3mMbIonw7jCIPcchPTcdcWiJDMJY0d9xlvzV9Y0w5b6_N7l-09HM8L4HV1tZvqUD8mX059QnWWuaaPcAoQTAz4/s1600/2019-07-30_12-39-24.jpg "[Cảnh Báo] Phát hiện mã độc mã hóa tống tiền mới trên Android sử dụng tin nhắn SMS để phát tán và lây nhiễm - Cyebersec365.org") |
| [Cảnh Báo] Phát hiện mã độc mã hóa tống tiền mới trên Android sử dụng tin nhắn SMS để phát tán và lây nhiễm - Cyebersec365.org |
"Phần mềm ransomware cũng để các tập tin không được mã hóa nếu phần mở rộng tập tin là phần mềm .zip và hoặc .rar, và kích thước tập tin là hơn 51.200 KB / 50 MB và các tập tin .jpeg,,. kích thước tệp nhỏ hơn 150 KB, "ESET bổ sung.
Phần mềm độc hại sẽ mã hóa một hỗn hợp kỳ lạ của các loại tệp cụ thể của Android cũng như sự kết hợp kỳ lạ của các loại tài liệu không liên quan, với nhóm nghiên cứu ESET kết luận rằng "danh sách đã được sao chép từ mẫu mã độc mã hóa tống tiền khét tiếng WannaCry ransomware."
![[Cảnh Báo] Phát hiện mã độc mã hóa tống tiền mới trên Android sử dụng tin nhắn SMS để phát tán và lây nhiễm - Cyebersec365.org](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEilK2oLKnLPBUvDBz60ezIqbY5JxtOrbjBnDX4K5T6Q4tAQBajiI-5pFuyGQZiM2suIts_2-uZgIdNGlUJpJljUveHaeEcsZgf6Yp9q8TaVD5uJ_7DoZDyiTg9Xj5gysfaNsMZ1qngU2lB2/s1600/2019-07-30_12-41-53.jpg "[Cảnh Báo] Phát hiện mã độc mã hóa tống tiền mới trên Android sử dụng tin nhắn SMS để phát tán và lây nhiễm - Cyebersec365.org") |
| [Cảnh Báo] Phát hiện mã độc mã hóa tống tiền mới trên Android sử dụng tin nhắn SMS để phát tán và lây nhiễm - Cyebersec365.org |
Trong khi ghi chú tiền chuộc nói rằng dữ liệu sẽ bị mất nếu tiền chuộc không được trả trong vòng ba ngày,
![[Cảnh Báo] Phát hiện mã độc mã hóa tống tiền mới trên Android sử dụng tin nhắn SMS để phát tán và lây nhiễm - Cyebersec365.org](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgMZk2e4YaPTvBqH6jzs217QXFWFAM-yyOoWAHwC0t3HcXk11RaBtnlAuczj3_4K_xMmF41_f5yjNsHiYzxc4FQbGMUBxSdV6bHWZ3tmHeawMBAA9nV_lFfuBUWInQWlmOG_argRd7Ip-2c/s1600/2019-07-30_12-43-05.jpg "[Cảnh Báo] Phát hiện mã độc mã hóa tống tiền mới trên Android sử dụng tin nhắn SMS để phát tán và lây nhiễm - Cyebersec365.org") |
| [Cảnh Báo] Phát hiện mã độc mã hóa tống tiền mới trên Android sử dụng tin nhắn SMS để phát tán và lây nhiễm - Cyebersec365.org |
FileCoder mã hóa các tệp bằng các khóa AES mới cho mỗi tệp mà nó khóa, sử dụng một cặp khóa chung và khóa riêng, sau đó được mã hóa với sự trợ giúp của thuật toán RSA.
Tuy nhiên, vì các nhà phát triển của ransomware đã mã hóa giá trị được sử dụng để mã hóa khóa riêng trong mã của phần mềm độc hại, nạn nhân có thể giải mã dữ liệu của họ mà không phải trả tiền chuộc.
"Tất cả những gì cần thiết là UserID [..] được cung cấp bởi ransomware và tệp APK ransomware từ trong trường hợp tác giả của nó thay đổi giá trị khóa được mã hóa cứng", các nhà nghiên cứu ESET cho biết.
Tại thời điểm viết bài các máy chủ được sử dụng bởi các tác giả của FileCoder vẫn đang trực tuyến, với trang xác minh thanh toán tiền chuộc cũng có sẵn thông qua một trong các tệp được lưu trữ trên máy chủ C2 của phần mềm độc hại.
Trang xác minh thanh toán cũng cung cấp cho các nạn nhân một 'email hỗ trợ' được thiết kế để cho phép họ yêu cầu trợ giúp nếu gặp bất kỳ vấn đề nào: "Nếu bạn có bất kỳ câu hỏi nào, vui lòng liên hệ với chúng tôi. Địa chỉ email của chúng tôi: h3athledger@yandex.ru".
Thông tin chi tiết về hoạt động bên trong của ransomware Android / Filecoder.C cùng với danh sách các Chỉ số thỏa hiệp (IOC) bao gồm băm mẫu phần mềm độc hại, địa chỉ Bitcoin được sử dụng trong chiến dịch, có sẵn ở cuối phân tích phần mềm độc hại Filecoder của Stefank.
![[Cảnh Báo] Phát hiện mã độc mã hóa tống tiền mới trên Android sử dụng tin nhắn SMS để phát tán và lây nhiễm](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgILAU_fxJYL383Fn4IMg57r8MVdHyIoyHmh-gO79VUnOAglYylEuTmYGRkLgwckwkteadayEgLpAsBdrcGSubNrEqoVqVfHq8g_pOWqznQ5BBO1qxW5R4FfrPNdRsFM0cju4t-x_GSzcIh/s72-c/2019-07-30_11-12-44.jpg)
Không có nhận xét nào