إذا كنت تستخدم هاتفًا يعمل بنظام Android ، فهناك عائلة جديدة من هجوم برامج الفدية تستفيد من نشر الرسائل القصيرة ، وفقًا لبحث جديد أجرته شركة ESET للأمن السيبراني ومقرها سلوفاكيا.
تستخدم الفدية - التي يشار إليها باسم Android / Filecoder.C والنشطة منذ 12 يوليو - قوائم جهات الاتصال الخاصة بالضحايا لتوسيع نطاقها عبر رسائل SMS التي تحتوي على روابط ضارة. وأشار الباحثون إلى أنه تم توزيع البرمجيات الخبيثة عبر منشورات إباحية في منتدى أندرويد Reddit و XDA.
أعلنت الرسائل النصية القصيرة عن رابط لتطبيق يُفترض أنه استخدم صور الضحية عندما يكون في الواقع تطبيق ضار يحتوي على فدية. في محاولة لإخفاء دوافعهم الحقيقية ، تم العثور على المهاجمين أحيانًا لإخفاء أسماء النطاقات باستخدام اختصارات عناوين URL مثل bit.ly.
تم إرسال الرسائل أيضًا بواحدة من 42 لغة بناءً على إعداد لغة الجهاز وبادئة أسماء جهات الاتصال لإضافة لمسة شخصية.
التطبيق ، في معظم الأحيان ، هي لعبة محاكاة الجنس عبر الإنترنت. ولكن في الخلفية ، يبدأ الاتصال مع خادم الأوامر والتحكم (C&C) للوصول إلى قائمة عناوين ذات ترميز ثابت ولتشفير الملفات وفك تشفيرها.
 |
| ESET الصورة من |
عند إرسال الرسائل ، يقوم Filecoder بعد ذلك بمسح الجهاز المصاب لتشفير معظم أنواع الملفات - بما في ذلك الملفات النصية والصور - مع التمديد ".seven".
هذا يمنع بشكل فعال الضحايا من الوصول إلى الملفات المخزنة في الجهاز. لكن الملفات المؤرشفة (.zip و .rar) التي يزيد حجمها عن 50 ميغابايت وملحقات Android مثل .apk و .dex يبدو أنها معفاة.
لاحظ ESET أنه تم نسخ قائمة ملفات التشفير من هجوم WannaCry Ransomware سيئ السمعة الذي استهدف أجهزة الكمبيوتر التي تعمل بنظام Windows والتي تقوم بتشفير البيانات والمطالبة بدفع الفدية في Bitcoins.
في حين أن Filecoder لا يغلق الجهاز عنك ، فإنه يستخدم خوارزمية RSA لتشفير محتويات الجهاز. يتم إنشاء زوج من المفاتيح الخاصة والعامة ، ويتم تشفير المفتاح الخاص ، بدوره ، باستخدام مفتاح عمومي مشفر ومن ثم إرساله إلى خادم C&C.
إذا تم دفع الفدية ، يعرض المهاجم فك تشفير المفتاح الخاص وإعادة ذلك المفتاح الخاص إلى الضحية لفك تشفير الملفات.
"يمكن استرداد أي ملفات مشفرة دون مساعدة من المهاجمين" ، كتب باحثون في ESET. ومع ذلك ، إذا قام المطورون بإصلاح العيوب وأصبح التوزيع أكثر تقدمًا ، فقد تصبح هذه الفدية الجديدة تهديدًا خطيرًا.
 | |
|
ومن المثير للاهتمام ، أن مذكرة الفدية تحذر من أن البيانات ستفقد بعد 72 ساعة ، لكن ESET لم تعثر على دليل في رمز البرنامج لدعم هذه المطالبة.
على عكس الأنواع الأخرى من Ransomware ، فإن مبلغ فدية البيتكوين المطلوب ديناميكي جزئيًا: يتم إصلاح الأرقام القليلة الأولى (0.01) وتختلف الأرقام الستة المتبقية بناءً على معرف المستخدم الذي تم إنشاؤه بواسطة البرامج الضارة.
لم يكشف الباحثون عن عدد الأجهزة التي تأثرت بـ Filecoder. ولكن عند فحص ارتباطات bit.ly ، وجدوا أنها قد تم النقر عليها 59 مرة ، مع معظم النقرات التي وردت من البر الرئيسي للصين والولايات المتحدة وهونج كونج.
بينما يستمر Android في مواجهة موجة من تهديدات الأمان - Agent Smith و Monokle وأشكال أخرى من البرامج الضارة - يُنصح دائمًا بالالتزام بـ Google Play (أو غيره من متاجر التطبيقات ذات السمعة الطيبة) لتنزيل التطبيقات ، وتحديث برامج هاتفك باستمرار ، و توخي الحذر من الأذونات التي تطلبها التطبيقات.
ليست هناك تعليقات:
إرسال تعليق