Il ransomware FileCoder per Android sta prendendo di mira i dispositivi sui quali è installata la versione 5.1 o successiva del sistema operativo mobile di Google.
Il malware si diffonde poi ad altre vittime inviando messaggi di testo contenenti link dannosi all’intera lista dei contatti trovati sui dispositivi già compromessi mediante file APK malevoli condivisi dai criminal hacker sui forum di Reddit o della comunità di sviluppo software mobile XDA Developers.
Mentre gli amministratori di XDA Developers hanno immediatamente rimosso i messaggi dannosi dopo la segnalazione da parte di ESET, i thread di Reddit erano ancora in corso al momento in cui il ricercatore di sicurezza Lukas Stefanko ha pubblicato l’analisi del ransomware FileCoder.
Indice degli argomenti
FileCoder: i dettagli tecnici
Identificato dal team di ricerca di ESET e nominato come Android/Filecoder.C (FileCoder), il ransomware presenta alcuni difetti sia nella tecnica di diffusione sia nell’implementazione dell’algoritmo crittografico utilizzato per bloccare i file archiviati nella memoria dei dispositivi colpiti.
In particolare, a causa di una procedura di crittografia errata, è possibile decifrare i file interessati senza dover richiedere la chiave di decodifica agli aggressori e, soprattutto, senza dover pagare alcun riscatto.
Al momento, quindi, l’impatto malevolo del ransomware è abbastanza limitato. I criminal hacker, però, sarebbero già al lavoro su una nuova versione del ransomware per correggere questi difetti: se così fosse, molti utenti Android potrebbero essere esposti a un malware molto pericoloso e potenzialmente altamente distruttivo.
Inoltre, per diffondere il più possibile l’infezione di FileCoder, i criminal hacker hanno implementato ben 42 versioni linguistiche del messaggio SMS visualizzato dal ransomware e prima di inviarlo viene scelta la versione giusta adattandosi all’impostazione della lingua predefinita sul dispositivo della vittima.
FileCoder: come avviene l’infezione
L’infezione di un dispositivo Android mediante il ransomware FileCoder avviene nel più classico dei modi tipico delle campagne di malspam o phishing: cliccando sul link contenuto nell’SMS, la vittima non fa altro che scaricare il file dannoso e installare l’applicazione a sfondo erotico indicata nel messaggio.
Terminato il download, viene effettivamente avviata l’app indicata ma il suo funzionamento è limitato alla sola visualizzazione di ciò che era “promesso” nell’SMS. In realtà, il suo scopo reale è quello di nascondere l’attività del ransomware mentre comunica con il server di comando e controllo C&C gestito dai criminal hacker.
Durante questa fase, il malware richiederà le seguenti autorizzazioni:
- android.permission.SET_WALLPAPER
- android.permission.WRITE_EXTERNAL_STORAGE
- android.permission.READ_EXTERNAL_STORAGE
- android.permission.READ_CONTACTS
- android.permission.RECEIVE_BOOT_COMPLETED
- android.permission.SEND_SMS
- android.permission.INTERNET
utili a completare la catena infettiva.
Ricevute nel frattempo le giuste informazioni, FileCoder avvia la procedura di diffusione dei messaggi dannosi a tutti i contatti presenti nella rubrica della vittima e implementa il meccanismo di crittografia dei file.
Una volta completata la procedura di crittografia del file, FileCoder aggiunge l’estensione .seven ai file bloccati.
Il ransomware mostra quindi la nota di riscatto alla vittima con la minaccia che se non paga entro 72 ore, tutti i suoi file saranno irrimediabilmente cancellati. In realtà, dall’analisi del codice malevolo di FileCoder non risulta nulla a sostegno di questa affermazione. Si tratterebbe quindi di un semplice trucco per spingere la vittima a pagare il riscatto in Bitcoin.
La pagina di verifica del pagamento fornisce alle vittime anche una “e-mail di supporto” che consente loro di chiedere aiuto in caso di problemi: “Se avete domande, contattateci. La nostra e-mail è h3athledger@yandex.ru“.
A differenza di altri ransomware simili, FileCoder non non blocca lo schermo del dispositivo compromesso e non blocca l’accesso alle directory .cache, tmp o temp, ai file in formato .zip o .rar con dimensioni superiori ai 50 MB e .jpeg, .jpg e .png con dimensioni inferiori a 150 KB.
Una curiosità è che la lista delle estensioni dei file che vengono criptati è stata di fatto copiata da quella usata in passato dal famigerato ransomware WannaCry.
Come difendersi dal ransomware per Android
Nonostante l’impatto malevolo del ransomware sia ancora abbastanza limitato, è comunque opportuno applicare alcune semplici regole di sicurezza informatica per mettere al riparo i nostri dispositivi Android da un possibile attacco con conseguente perdita di dati personali e riservati.
Innanzitutto, non bisogna mai scaricare applicazioni e file da sorgenti diverse da Google Play e non verificate.
Inoltre, così come si fa per proteggersi dagli attacchi di tipo phishing, non bisogna mai cliccare sui link indicati nei messaggi SMS provenienti da mittenti sconosciuti o sospetti. E anche se il messaggio sembra provenire da un nostro contatto, è sempre bene fare prima una verifica per evitare brutte sorprese.
Infine, soprattutto quando i dispositivi Android vengono utilizzati in ambito aziendale e produttivo, è opportuno installare una buona soluzione di sicurezza (ancora meglio se integrata nell’eventuale client di Mobile Device Management per il controllo remoto e centralizzato dei dispositivi usati per lo smart working) in grado di garantire un elevato livello di protezione dei dati e delle informazioni riservate archiviate in memoria.
