شناسایی باج‌افزار اندرویدی با قابلیت انتشار از طریق پیامک

مرکز ماهر نسبت به شناسایی خانواده‌ جدیدی از باج افزار برای حمله به سیستم‌عامل تلفن همراه اندروید هشدار داد که از پیام کوتاه برای انتشار خود استفاده می‌کند.

به گزارش «خبرنامه دانشجویان ایران» به نقل از مرکز ماهر، این ویروس باج گیر که «Android / Filecoder.C» نامگذاری شده‌ است، از طریق پست‌های مخرب در فروم های آنلاین از جمله ‫Reddit و XDA-Developers منتشر می‌شود.

هاجمان برای فریب کاربران برای کلیک کردن روی لینک‌های آلوده در پست‌های ارسالی، از مضامین غیراخلاقی و در برخی موارد، موضوعات مرتبط با تکنولوژی استفاده می‌کنند.

این باج‌افزار بعد از نصب روی تلفن همراه قربانی، با ارسال لینک بدافزار از طریق پیامک به تمامی مخاطبان موجود در فهرست مخاطبین قربانی، تعداد قربانیان خود را افزایش می‌دهد.

بسته به تنظیمات زبان دستگاه آلوده، پیام‌ها در یکی از ۴۲ نسخه‌ ممکن زبان ارسال می‌شوند و نام مخاطب نیز به‌صورت خودکار در پیام درج می‌شود.

پس از ارسال پیام‌ها، Filecoder دستگاه آلوده را اسکن می‌کند تا تمام فایل‌های ذخیره را پیدا و اکثر آن‌ها را رمزگذاری کند.

Filecoder انواع فایل‌ها از جمله فایل‌های متنی و تصاویر را رمزگذاری می‌کند اما فایل‌هایی با ویژگی‌های زیر را رمزگذاری نخواهد کرد:
• فایل‌های موجود در مسیرهای حاوی رشته‌های «.cache»، «tmp« یا «temp»
• فایل‌های دارای پسوند .zip و .rar
• فایل‌های با اندازه‌ بزرگ‌تر از ۵۰ مگابایت
• تصاویر دارای پسوند .jpeg، .jpg و .png و با اندازه‌ کوچکتر از ۱۵۰ کیلوبایت
• فایل‌های اندرویدی مانند .apk و .dex

پس از آن، یک یادداشت دریافت باج نمایش داده می‌شود که مبلغ درخواستی آن حدود ۹۸ تا ۱۸۸ دلار و به صورت ارز رمزنگاری‌شده است.

این باج‌افزار برخلاف دیگر باج‌افزارهای اندرویدی، صفحه‌ نمایش دستگاه را قفل نمی‌کند یا مانع از استفاده از تلفن هوشمند نمی‌شود، اما اگر قربانی برنامه را حذف کند، فایل‌ها رمزگشایی نخواهند شد.

Filecoder هنگام رمزگذاری محتویات دستگاه، یک کلید عمومی و یک کلید خصوصی ایجاد می‌کند. کلید خصوصی با یک الگوریتم RSA و یک مقدار به‌طور خاص کدگذاری شده، رمزگذاری شده است و برای مرکز کنترل و فرمان ارسال می‌شود. بنابراین اگر قربانی مبلغ درخواستی را پرداخت کند، مهاجم می‌تواند کلید خصوصی و در نتیجه فایل‌ها را رمزگشایی کند.

این بدافزار از آدرس‌های زیر به عنوان مرکز کنترل و فرمان خود استفاده می‌کند:
• http://rich۷.xyz
• http://wevx.xyz
• https://pastebin.com/raw/LQwGQ۰RQ

متخصصان امنیت سایبری معتقدند که می‌توان فرایند رمزگشایی را با استفاده از کلید خصوصی و بدون پرداخت هزینه، انجام داد. آن‌ها ادعا می‌کنند که می‌توان فرایند رمزنگاری را به رمزگشایی تبدیل کرد. برای انجام چنین فرایندی، تنها به UserID نیاز خواهد بود که آن هم از سوی مجرم سایبری در پیام درخواست وجه، ارائه می‌شود.

به دلیل هدف‌گیری محدود و نقص در اجرای برنامه و رمزگذاری آن‌، تأثیر این باج‌افزار جدید محدود است. با این وجود، اگر توسعه‌دهندگان، نقص‌ها را برطرف و اپراتورها شروع به هدف‌گیری گروه‌های وسیع‌تری از کاربران کنند، باج‌افزار Android / Filecoder.C می تواند تبدیل به یک تهدید جدی شود.

مرکز ماهر از کاربران خواست برای جلوگیری از آلودگی به این نوع از باج‌افزارها موارد زیر را رعایت کنند:
• نصب برنامه‌ها از منابع معتبر
• به‌روزرسانی سیستم‌عامل دستگاه
• توجه به مجوزهای درخواستی برنامه‌ها
• نصب آنتی‌ویروس و به‌روزرسانی آن