Sono almeno due anni che i ransomware per Android sono in declino, senza nessuna versione nuova degna di nota e senza campagne di diffusione di ampie dimensioni. Ieri però ESET ha lanciato un alert importante, da tenere in considerazione e che, potenzialmente, indica un cambio di tendenza nel panorama delle minacce ransomware.
E' stata infatti individuata una nuova famiglia di ransomware pensata appositamente per SO Android, distribuita tramite vari forum online. Usando la lista di contatti delle vittime, questo ransomware si diffonde ulteriormente via SMS: l'intera rubrica della vittima verrà usata per inviare SMS contenenti appunto il link dannoso cliccando il quale si avvia la catena d'infezione. Ad ora l'unica buona notizia è che questo ransomware, ribattezzato Filecoder, ha una diffusione veramente limitata, ma se i suoi sviluppatori dovessero decidere di distribuirlo in campagne più ampie, la minaccia diverrebbe davvero seria.
Filecoder è attivo almeno dal 12 Luglio: ESET ha studiato un campione di questo ransomware distribuito in un post dannoso su Reddit e sul forum "XDA Developers", un forum molto frequentato da sviluppatori di App per Android. I topic che rimandano ai due domini sotto il controllo degli attaccanti sono a tematica pornografica, meno numerosi quelli a tematica tecnica. Gli attaccanti hanno commentato spesso tali post, inserendo in ogni commento link e qrcode per reindirizzare gli utenti sui domini dannosi dai quali viene scaricato il ransomware. E' stato usato perfino bit.ly, noto abbreviatore di URL.
Il link truffaldino
Come detto, il ransomware viene distribuito portando gli utenti sui domini compromessi controllati dagli attaccanti tramite SMS fraudolenti: per convincere le potenziali vittime a fare click sul link, questo viene presentato come collegamento ad un App dove si troverebbero foto compromettenti della vittima stessa.
Ecco come appare l'SMS dannoso. Fonte: www.welivesecurity.com |
L'SMS è scritto in oltre 42 diverse lingue, italiano compreso: la versione da inviare viene decisa in base alle impostazioni linguistiche del dispositivo dell'utente infetto. Per personalizzare ancora di più l'SMS e renderlo ancora più credibile, il malware aggiunge il nome del contatto.
La catena di infezione
Una volta che la vittima riceve l'SMS con il link all'App dannosa, viene "indotto" all'installazione manuale dell'App. Una volta aperta l'App, al di là di come viene presentata alla vittima, nella maggior parte dei casi ci si trova di fronte a giochi online di simulazione di sesso. Questo però non è altro che una copertura, una distrazione per la futura vittima: lo scopo principale del malware è la comunicazione col proprio server di C&C, per ricevere i comandi necessari all'implementazione del meccanismo di criptazione dei file. Il malware contiene, precompilati, sia gli indirizzi dei server di C&C sia quello del conto Bitcoin. Tuttavia Filecoder può recuperare tali indirizzi anche in modo dinamico: gli attaccanti possono modificarli in qualsiasi momento sfruttando il servizio gratuito Pastebin.
Un esempio di set di indirizzi per Filecoder. Fonte: www.welivesecurity.com |
La fase di distribuzione ulteriore si avvia qui: aperte le comunicazioni col Server C&C, Filecoder accede alla rubrica dell'utente e avvia la distribuzione degli SMS fake a tutta la lista di contatti. Si concentra poi sulla criptazione dei file.
Il meccanismo di criptazione
Filecoder accede a tutti gli storage accessibili sul dispositivo, fatta eccezione per quella "zona" in cui risiedono i file di sistema: tutto il resto finirà criptato. Usa sia la criptazione simmetrica che quella asimmetrica. Per prima cosa genera la coppia di chiavi pubblica/privata. La chiave privata viene criptata con l'algoritmo RSA, con la chiave pubblica che viene memorizzata nel codice e inviata al server C&C. L'attaccante dovrà decriptare la chiave privata, dopo il pagamento del riscatto, e inviarla alla vittima per decriptare i propri file. Durante la criptazione, poi, il ransomware genera una nuova chiave AES per ogni file criptato: questa chiave AES viene quindi criptata usando la chiave pubblica e anteposta a ciascun file criptato. Si ottiene così il seguente schema:
Filecoder accede a tutti gli storage accessibili sul dispositivo, fatta eccezione per quella "zona" in cui risiedono i file di sistema: tutto il resto finirà criptato. Usa sia la criptazione simmetrica che quella asimmetrica. Per prima cosa genera la coppia di chiavi pubblica/privata. La chiave privata viene criptata con l'algoritmo RSA, con la chiave pubblica che viene memorizzata nel codice e inviata al server C&C. L'attaccante dovrà decriptare la chiave privata, dopo il pagamento del riscatto, e inviarla alla vittima per decriptare i propri file. Durante la criptazione, poi, il ransomware genera una nuova chiave AES per ogni file criptato: questa chiave AES viene quindi criptata usando la chiave pubblica e anteposta a ciascun file criptato. Si ottiene così il seguente schema:
- Chiave pubblica AES + File AES.seven
Fonte: www.welivesecurity.com |
Terminata la criptazione viene mostrata la nota di riscatto. Al contrario di molti noti ransomware per Android, Filecoder non attiva alcun meccanismo di screenlocking.
La nota di riscatto
La nota di riscatto contiene un messaggio molto chiaro "non rimuovere questa APP, o non riavrai mai indietro i tuoi file". I ricercatori di ESET confermano che ciò è vero: il ransomware non sarà in grado di decriptare i file nel caso in cui l'App venga rimossa. In compenso l'analisi del codice di Filecoder ha smentito l'esistenza di qualsiasi meccanismo per la cancellazione dei file trascorse le 72 ore.
Nessun commento:
Posta un commento