مرکز ماهر نسبت به شناسایی خانواده جدیدی از باج افزار برای حمله به سیستمعامل تلفن همراه اندروید هشدار داد که از پیام کوتاه برای انتشار خود استفاده میکند.
مرکز ماهر نسبت به شناسایی خانواده جدیدی از باجافزار برای حمله به سیستمعامل تلفن همراه اندروید هشدار داد که از پیام کوتاه برای انتشار خود استفاده میکند.
این ویروس باج گیر که «Android / Filecoder.C» نامگذاری شده است، از طریق پستهای مخرب در فرومهای آنلاین از جمله Reddit و XDA-Developers منتشر میشود.
مهاجمان برای فریب کاربران برای کلیک کردن روی لینکهای آلوده در پستهای ارسالی، از مضامین غیراخلاقی و در برخی موارد، موضوعات مرتبط با تکنولوژی استفاده میکنند.
این باجافزار بعد از نصب روی تلفن همراه قربانی، با ارسال لینک بدافزار از طریق پیامک به تمامی مخاطبان موجود در فهرست مخاطبین قربانی، تعداد قربانیان خود را افزایش میدهد.
بسته به تنظیمات زبان دستگاه آلوده، پیامها در یکی از ۴۲ نسخه ممکن زبان ارسال میشوند و نام مخاطب نیز بهصورت خودکار در پیام درج میشود.
پس از ارسال پیامها، Filecoder دستگاه آلوده را اسکن میکند تا تمام فایلهای ذخیره را پیدا و اکثر آنها را رمزگذاری کند.
Filecoder انواع فایلها از جمله فایلهای متنی و تصاویر را رمزگذاری میکند اما فایلهایی با ویژگیهای زیر را رمزگذاری نخواهد کرد:
• فایلهای موجود در مسیرهای حاوی رشتههای «.cache»، «tmp« یا «temp»
• فایلهای دارای پسوند .zip و .rar
• فایلهای با اندازه بزرگتر از ۵۰ مگابایت
• تصاویر دارای پسوند .jpeg، .jpg و .png و با اندازه کوچکتر از ۱۵۰ کیلوبایت
• فایلهای اندرویدی مانند .apk و .dex
پس از آن، یک یادداشت دریافت باج نمایش داده میشود که مبلغ درخواستی آن حدود ۹۸ تا ۱۸۸ دلار و به صورت ارز رمزنگاریشده است.
این باجافزار برخلاف دیگر باجافزارهای اندرویدی، صفحه نمایش دستگاه را قفل نمیکند یا مانع از استفاده از تلفن هوشمند نمیشود، اما اگر قربانی برنامه را حذف کند، فایلها رمزگشایی نخواهند شد.
Filecoder هنگام رمزگذاری محتویات دستگاه، یک کلید عمومی و یک کلید خصوصی ایجاد میکند. کلید خصوصی با یک الگوریتم RSA و یک مقدار بهطور خاص کدگذاری شده، رمزگذاری شده است و برای مرکز کنترل و فرمان ارسال میشود. بنابراین اگر قربانی مبلغ درخواستی را پرداخت کند، مهاجم میتواند کلید خصوصی و در نتیجه فایلها را رمزگشایی کند.
این بدافزار از آدرسهای زیر به عنوان مرکز کنترل و فرمان خود استفاده میکند:
• http://rich۷.xyz
• http://wevx.xyz
• https://pastebin.com/raw/LQwGQ۰RQ
متخصصان امنیت سایبری معتقدند که میتوان فرایند رمزگشایی را با استفاده از کلید خصوصی و بدون پرداخت هزینه، انجام داد. آنها ادعا میکنند که میتوان فرایند رمزنگاری را به رمزگشایی تبدیل کرد. برای انجام چنین فرایندی، تنها به UserID نیاز خواهد بود که آن هم از سوی مجرم سایبری در پیام درخواست وجه، ارائه میشود.
به دلیل هدفگیری محدود و نقص در اجرای برنامه و رمزگذاری آن، تأثیر این باجافزار جدید محدود است. با این وجود، اگر توسعهدهندگان، نقصها را برطرف و اپراتورها شروع به هدفگیری گروههای وسیعتری از کاربران کنند، باجافزار Android / Filecoder.C می تواند تبدیل به یک تهدید جدی شود.
مرکز ماهر از کاربران خواست برای جلوگیری از آلودگی به این نوع از باجافزارها موارد زیر را رعایت کنند:
• نصب برنامهها از منابع معتبر
• بهروزرسانی سیستمعامل دستگاه
• توجه به مجوزهای درخواستی برنامهها
• نصب آنتیویروس و بهروزرسانی آن