Een nieuwe ransomware genaamd Filecoder valt mobiele Android-besturingssystemen aan. De ransomware maakt gebruik van sms-berichten om zich te verspreiden.

Ransomware

Volgens cybersecurity-professionals van ESET is Filecoder actief sinds 12 juli. Het verspreidt zich via kwaadaardige berichten op online forums, waaronder Reddit en  XDA, aldus ZDnet.

De losgeldbrief die na infectie op een Android-apparaat wordt weergegeven, eist bedragen die variëren tussen de 98 miljoen dollar en 188 miljoen dollar in cryptocurrency. Bewijzen dat bestanden ook daadwerkelijk verloren gaan na de gestelde tijd, zijn er vooralsnog niet.

Pornografisch materiaal

Het merendeel van de kwaadwillende berichten proberen slachtoffers te verleiden de malware te downloaden, door deze te associëren met pornografisch materiaal en het verbergen van domeinen met bit.ly-links. Als de malware eenmaal op een mobiel Android-apparaat is geïnstalleerd, plundert het de lijst met contactpersonen van het slachtoffer en stuurt het sms-berichten naar elke contactpersoon. De doorgestuurde link ziet eruit als een app, die gebruik maakt van foto’s van de contactpersoon. In werkelijkheid is het een kwaadaardige app die de ransomware herbergt.

De berichten worden verzonden in een van de 42 mogelijke taalversies, afhankelijk van de taalinstelling van het geïnfecteerde apparaat. Bovendien wordt de naam van de contactpersoonautomatisch in het bericht opgenomen. Nadat de ontvanger op de link klikt en de schadelijke app handmatig installeert, wordt veelal pornografisch materiaal weergegeven, zoals een sekssimulator. De ransomware draait stilletjes mee op de achtergrond.

De app is onder meer voorzien van hardcoded command-and-control (C2) -instellingen en Bitcoin wallet-adressen, dit alles binnen de broncode.

WannaCry

Vervolgens scant Filecoder het geïnfecteerde apparaat en codeert de ransomware het merendeelvan de opslagbestanden. De ransomware versleutelt vervolgensbestandstypes, inclusief tekstbestanden en afbeeldingen. Het bevat geen specifieke Android-bestanden, zoals .apk of .dex. De cybersecurity-professionals vermoeden dat de coderingslijst niet meer is dan een kopieer- en plakopdracht van WannaCry die bekend staat als een zeer ernstige, productieve vorm van ransomware.

Anders dan bij de meeste gevallen van ransomware vergrendelt de malware het scherm van het apparaat niet. Ook kan de smartphone gewoon worden gebruikt. In het geval een slachtoffer de app verwijdert, worden de bestanden niet gedecodeerd, zoals de chantage-eis doet vermoeden. Onderzoekers sluiten dan ook niet uit dat vanwege de gebrekkige codering in Filecoder,bestanden zonder te betalen hersteld kunnen worden.

RSA-algoritme

De ransomware genereert zowel een publiek- als privaat sleutelpaar bij het coderen van de inhoud van een apparaat. De privésleutel wordt vervolgens gecodeerd met een RSA-algoritme en een hardcode, die naar de C2 van de operator wordt verzonden. Hierdoor is het voor de aanvaller mogelijk om, wanneer een slachtoffer betaalt, de privésleutel vrij te geven aan het slachtoffer.

Door het coderingsalgoritme te veranderen in een decoderingsalgoritme is het mogelijk de hardcoded sleutelwaarde te gebruiken om bestanden te decoderen. Dat zonder losgeld te betalen, aldus de onderzoekers. Alleen deUserID, die door de ransomware aan het slachtoffer wordt verstrekt in het losgeldbriefje, is in deze nodig.

“Vanwege de beperkte targeting en fouten in zowel de uitvoering van de campagne als de implementatie van de codering ervan, is de impact van deze nieuwe ransomware beperkt. Als de ontwikkelaars echter de fouten verhelpen en de operators zich richten op bredere groepen gebruikers, kan de Android/Filecoder ransomware een serieuze bedreiging vormen”, aldus de onderzoekers.