Populariteit van Android-ransomware neemt af, maar het gevaar is er nog

Ondanks dat Android-ransomware sinds 2017 aan het afzwakken is in populariteit, hebben ESET-onderzoekers recent toch een nieuwe ransomwarefamilie ontdekt: Android/Filecoder.C. Door gebruik te maken van de contactlijsten van de slachtoffers poogt het zich verder te verspreiden via sms’jes met kwaadaardige links.

Verspreiding via Reddit

Deze nieuwe ransomware werd gedistribueerd via porno-gerelateerde topics op Reddit. Het kwaadwillende profiel gebruikt voor het distribueren van de ransomware is gerapporteerd door ESET, maar blijft nog steeds actief. De campagne heeft ook kort gedraaid op het “XDA developers”-forum, een forum voor Android-ontwikkelaars; maar beheerders hebben daar de kwaadaardige posts inmiddels verwijderd.

“De campagne die we ontdekten is klein en wat amateuristisch. Echter, als de ontwikkelaars de tekortkomingen herstellen en de distributie geavanceerder wordt, kan deze nieuwe ransomware een serieuze dreiging worden,” zo laat Lukáš Štefanko, ESET-onderzoeker en hoofd van dit onderzoek, weten.

Distributiemechanisme

De nieuwe ransomware is opmerkelijk wegens zijn distributiemechanisme. Voordat bestanden versleuteld worden, wordt naar elk contact van de slachtoffer een sms-bericht gestuurd en worden ontvangers van de berichten verleid om op een kwaadaardige link te klikken waarna het ransomwarebestand geïnstalleerd wordt. “In theorie kan dit leiden naar een lading van infecties – al helemaal omdat de malware versies van het bericht in 42 talen heeft.” voegt Štefanko toe. “Gelukkig kunnen zelfs naïeve gebruikers zien dat het bericht slecht vertaald is en lijkt het erop dat sommige vertalingen niet eens logisch zijn.” Talen die worden gebruikt voor deze berichten zijn, onder andere, Engels, Afrikaans, Indonesisch en Iers. Geen Nederlands.

Naast dit non-traditionele distributiemechanisme, heeft Android/Fildecoder.C enkele afwijkingen in zijn encryptie. Grote archieven (meer dan 50 MB) en kleine afbeeldingen (onder 150 kB) worden buitengesloten en de lijst met “bestandtypen te versleutelen” bevat meerdere typen die niet aan Android toebehoren terwijl enkele typische extensies voor Android ontbreken. “Blijkbaar is de lijst gekopieerd van de beruchte WannaCry-ransomware,” aldus Štefanko.

De onorthodoxe aanpak van de malware-ontwikkelaars heeft nog meer intrigerende elementen: waar bij typische Android-ransomware de gebruiker geen toegang tot het apparaat meer heeft door een vergrendeld scherm is dat bij Android/Filecoder.C niet het geval. Daarnaast heeft het losgeld voor het ontsleutelen van de bestanden geen vaste waarde, maar wordt dit dynamisch bepaald door gebruik van een UserID die door de ransomware aan elk slachtoffer gekoppeld wordt. Dit proces resulteert in een unieke som losgeld, ergens tussen 0.01-0.02 bitcoins.

Nieuwe truc: unieke som losgeld

Volgens Štefanko is de truc met een unieke som losgeld nieuw. Dat hebben ze nog niet eerder gezien bij Android-ransomware. Het is waarschijnlijk bedoeld om betalingen aan slachtoffers te koppelen. Dit wordt doorgaans opgelost door een unieke Bitcoin-portefeuille te creëren voor elk versleuteld apparaat. In deze campagne is er ook maar één Bitcoin-portefeuille in gebruik gezien.

Android ransomware nog steeds een dreiging

Deze ontdekking laat zien dat ransomware nog steeds een dreiging vormt voor mobiele Android-apparaten. Om veilig te blijven, zijn er een paar eenvoudige dingen om te onthouden:

• Hou al je apparaten up-to-date. Idealiter heb je je apparaat zo ingesteld dat patches en updates automatisch uitgevoerd worden.
• Indien mogelijk, gebruik alleen Google Play of andere erkende appstores. Het komt wel eens voor dat deze appstores toch kwaadaardige apps bevatten, maar de kans is groot dat je ze nooit tegenkomt.
• Voordat je een app installeert, check de recensies en ratings. Kijk naar de negatieve feedback gezien die meestal door legitieme gebruikers wordt gegeven terwijl positieve feedback vaak door de aanvallers wordt geschreven.
• Kijk goed naar de machtigingen die de app vereist. Indien ze niet lijken te passen bij de functies van de app, kun je de app beter niet downloaden.
• Gebruik een erkende mobiele beveiligingsoplossing om je apparaat te beschermen.

[Fotocredits © Rawf8 – Adobe Stock]