Nieuwe Android Ransomware verspreidt zich via sms'jes

Gepubliceerd op 30 juli 2019 om 17:05

Cybercrime experts hebben een nieuwe Ransomware voor het Android platform ontdekt die zich via sms'jes en links op Reddit en Android ontwikkelaars forum XDA verspreidt. De links en QR-codes die de aanvallers op Reddit en XDA plaatsen lijken naar een pornografische app te wijzen.

Fig. 1: Versleutelde bestanden met de extensie ".seven"

Fig. 2: Een Ransom log weergegeven door Android / Filecoder.C

In werkelijkheid gaat het om ransomware. Om de app te kunnen installeren moeten gebruikers zelf instellen dat ze apps van onbetrouwbare bronnen kunnen installeren. Dit is juist een zeer belangrijke maatregel om Android malware tegen te gaan. 

Wanneer de app is geïnstalleerd wordt naar iedereen in het adresboek een sms-bericht verstuurd met een link (smishing) naar de zogenaamde pornografische app. Om de sms-spam overtuigender te maken wordt ook de naam van de ontvanger aan het bericht toegevoegd. De ransomware kan berichten in 42 verschillende talen opstellen. De Nederlandse taal zit hier niet tussen.

Fig. 3: Een sms met een link naar de ransomware

Fig. 4: Het Bitcoin-adres dat door de cybercriminelen wordt gebruikt

Na het versturen van de sms'jes worden allerlei bestanden op het toestel versleuteld en moet het slachtoffer 90 euro voor het ontsleutelen betalen. Door een fout in de encryptie is het echter mogelijk om versleutelde bestanden kosteloos te ontsleutelen. "Vanwege de hardcoded sleutelwaarde die is gebruikt voor het versleutelen van de private key, is het mogelijk om de bestanden zonder te betalen te ontsleutelen door het versleutelalgoritme naar een decryptie-algoritme te veranderen", zegt onderzoeker Lukas Stefanko van antivirusbedrijf ESET.

Fig. 5: Statistieken voor de bit.ly-link gedeeld op Reddit tijdens de ransomware-campagne

Bron: welivesecurity, security