Dopo l’ultima ondata di infezioni nell'estate del 2016, il ransomware per Android SLocker torna ancora più pericoloso:è in corso una nuova ondata di infezioni, che sta colpendo utenti Android dall'inizio dell'anno. La differenza primaria con la vecchia ondata è che, finalmente, gli attacchi non passano inosservati: la prima ondata infatti passò nella quasi totalità dei casi non individuata o non riportata. Grazie invece all'uso di un nuovo sistema di apprendimento automatico, l'azienda di sicurezza Wandera ha potuto individuare nuove versioni di SLocker confrontando la vecchia versione con svariate app sospette.
Scoperte oltre 400 nuove varianti di SLocker
Il nuovo sistema di individuazione ha aiutato ad identificare oltre 400 nuove varanti di SLocker, riportanti alcune piccole modifiche che hanno permesso loro di non essere individuate dalla maggior parte delle app di sicurezza per Smartphone. Queste modifiche includono l’uso di nuove icone, funzioni di rinomina del codice sorgente, offuscamento pesante e l’inserimento di codici fittizi dentro le app per alterare le loro strutture. Con le nuove 400 varianti, il numero totale delle variazioni di SLocker sale a 3.000.
Fonte: Wandera.com |
SLocker è uno dei ransomware per Android più aggressivi conosciuti fin’ora. Questa minaccia è apparsa per la prima volta nell’Agosto 2016, facendo numerose vittime nelle PMI (piccole e medie imprese). Si stima che il creatore di SLocker ha guadagnato decine di milioni solo con queste operazioni.
Come funziona?
Il ransomware lavora proprio come le altre minacce: dopo che l’utente ha scaricato un’app compromessa, SLocker inizia un processo di criptazione dei file in background.
Una volta finito il processo, il ransomware blocca il dispositivo e mostra una nota di riscatto che solitamente cerca di mettere in imbarazzo la vittima usando il classico tema “La polizia ha scoperto che guardi contenuti proibiti per adulti”.
Alcune delle caratteristiche che hanno fatto risaltare Slocker sono:
- l'uso di Tor per le comunicazione col server C&C
- l’essere una delle poche famiglie di ransomware per Android a criptare effettivamente i file: la maggior parte dei ransomware per Android attuano solo una restrizione dell’accesso allo schermo del dispositivo, ma raramente criptano davvero i file.
Dall’Agosto del 2016 il ransomware SLocker è stato identificato anche in due incidenti. A inizio Marzo, i ricercatori di Check Point hanno trovato questo ransomware pre-installato in 38 dispositivi distribuiti da due importanti multinazionali e, a fine mese, gli esperti di Zscaler hanno trovato una variante di SLocker capace di evitare tutte le app antivirus per Smartphone.
Nessun commento:
Posta un commento