Yeni Fidye Yazılımı, Google Android İşletim Sisteminde Basit SMS Mesajlarından Yararlanıyor ve Ardından Kurbanın Fotoğrafını Kullanarak Saklanan Kişilere Saldırgan Bir Şekilde Yayılıyor
Mobil cihazlar için yeni bir fidye yazılımı çevrimiçi olarak ortaya çıktı. Mutasyona uğrayan ve gelişen dijital virüs, Google'ın Android işletim sistemini çalıştıran akıllı telefonları hedef alıyor. Kötü amaçlı yazılım, basit ama akıllıca gizlenmiş SMS mesajı yoluyla giriş elde etmeye çalışır ve ardından cep telefonunun dahili sisteminin derinliklerine iner. Yeni solucan, kritik ve hassas rehin tutmanın yanı sıra, güvenliği ihlal edilmiş akıllı telefonun iletişim platformları aracılığıyla agresif bir şekilde diğer kurbanlara yayılmaya çalışır. Yeni fidye yazılımı ailesi, hedeflenen siber saldırılara karşı giderek daha güvenli kabul edilen Google'ın Android işletim sisteminde önemli ancak endişe verici bir dönüm noktasını işaret ediyor.
Popüler antivirüs, güvenlik duvarı ve diğer dijital koruma araçları geliştiricisi ESET için çalışan siber güvenlik uzmanları, Google'ın Android mobil işletim sistemine saldırmak için tasarlanmış yeni bir fidye yazılımı ailesi keşfetti. Araştırmacılar, dijital Truva atının yayılmak için SMS mesajlarını kullandığını belirtti. ESET araştırmacıları, yeni kötü amaçlı yazılımı Android/Filecoder.C olarak adlandırdı ve bunun etkinliğinin arttığını gözlemledi. Bu arada, fidye yazılımı oldukça yeni gibi görünüyor, ancak yeni Android kötü amaçlı yazılım tespitlerinde iki yıllık bir düşüşün sonuna işaret ediyor. Basitçe söylemek gerekirse, bilgisayar korsanlarının akıllı telefon işletim sistemlerini hedeflemeye yeniden ilgi gösterdiği görülüyor. Sadece bugün birden fazla rapor verdik Apple iPhone iOS işletim sisteminde keşfedilen "Sıfır Etkileşim" güvenlik açıkları.
Filecoder Temmuz 2019'dan Beri Aktif Ama Akıllı Sosyal Mühendislik Yoluyla Hızlı ve Agresif Yayılıyor
Slovak antivirüs ve siber güvenlik şirketine göre, Filecoder çok yakın zamanda doğada gözlemlendi. ESET araştırmacıları, fidye yazılımının 12 Temmuz 2019'dan beri aktif olarak yayıldığını fark ettiklerini iddia ediyorlar. Basitçe söylemek gerekirse, kötü amaçlı yazılım bir aydan daha kısa bir süre önce ortaya çıkmış gibi görünüyor, ancak etkisi her geçen gün artıyor olabilir.
Virüs özellikle ilginç çünkü Google'ın Android işletim sistemine yapılan saldırılar yaklaşık iki yıldır istikrarlı bir şekilde düşüyor. Bu, Android'in çoğunlukla virüslere karşı bağışık olduğu veya bilgisayar korsanlarının özellikle akıllı telefonların peşinden gitmediği ve bunun yerine masaüstü bilgisayarları veya diğer donanım ve elektronik cihazları hedef aldığına dair genel bir algı oluşturdu. Akıllı telefonlar oldukça kişisel cihazlardır ve bu nedenle şirketlerde ve kuruluşlarda kullanılan cihazlara kıyasla sınırlı potansiyel hedefler olarak kabul edilebilirler. Bu kadar büyük ayarlarda PC'leri veya elektronik cihazları hedeflemenin çeşitli potansiyel faydaları vardır, çünkü güvenliği ihlal edilmiş bir makine diğer birkaç cihazı tehlikeye atmanın hızlı bir yolunu sunabilir. O zaman, hassas bilgileri seçmek için bilgileri analiz etme meselesidir. Bu arada, birkaç bilgisayar korsanlığı grubunun sahip olduğu görülüyor. büyük ölçekli casusluk saldırıları gerçekleştirmeye yöneldi.
Yeni fidye yazılımı ise yalnızca Android akıllı telefonun sahibinin kişisel bilgilere erişimini kısıtlamaya çalışıyor. Kötü amaçlı yazılımın kişisel veya hassas bilgileri sızdırmaya veya çalmaya ya da finansal bilgilere erişmeye çalışmak için keylogger veya aktivite izleyici gibi diğer yükleri yüklemeye çalıştığına dair hiçbir belirti yok.
Filecoder Ransomware Google Android İşletim Sisteminde Nasıl Yayılıyor?
Araştırmacılar, Filecoder fidye yazılımının Android mesajlaşma veya SMS sistemi aracılığıyla yayıldığını keşfettiler, ancak çıkış noktası başka bir yerde. Virüs, Reddit ve Android geliştirici mesajlaşma panosu XDA Developers dahil olmak üzere çevrimiçi forumlardaki kötü niyetli gönderiler aracılığıyla yayılıyor gibi görünüyor. ESET kötü niyetli gönderilere dikkat çektikten sonra, XDA Developers hızlı bir şekilde harekete geçti ve şüpheli medyayı kaldırdı, ancak şüpheli içerik Reddit'te yayınlandığı sırada hala geçerliydi.
ESET tarafından bulunan kötü amaçlı gönderilerin ve yorumların çoğu, kurbanları kötü amaçlı yazılımı indirmeye ikna etmeye çalışır. Virüs, genellikle pornografik materyallerle ilişkilendirilen içeriği taklit ederek kurbanı kendine çeker. Bazı durumlarda araştırmacılar, bazı teknik konuların yem olarak kullanıldığını da gözlemlediler. Ancak çoğu durumda, saldırganlar kötü amaçlı uygulamalara işaret eden bağlantılar veya QR kodları içeriyordu.
Erişilmeden önce anında tespit edilmesini önlemek için kötü amaçlı yazılımın bağlantıları bit.ly bağlantıları olarak maskelenir. Bu tür birkaç bağlantı kısaltma sitesi geçmişte, şüphelenmeyen İnternet kullanıcılarını kötü niyetli web sitelerine yönlendirmek, kimlik avı ve diğer siber saldırılar yapmak için kullanılmıştır.
Filecoder fidye yazılımı, kendisini kurbanın Android mobil cihazına sağlam bir şekilde yerleştirdikten sonra, kullanıcının bilgilerini hemen kilitlemeye başlamaz. Bunun yerine, kötü amaçlı yazılım önce Android sisteminin kişilerine baskın yapar. Araştırmacılar, Filecoder fidye yazılımının bazı ilginç ama rahatsız edici derecede agresif davranışlarını gözlemledi. Esasen, kötü amaçlı yazılım, kendini yaymak için kurbanın kişi listesini hızlı ama kapsamlı bir şekilde gözden geçirir.
Kötü amaçlı yazılım, Android mobil cihazının kişi listesindeki her girişe dikkatlice ifade edilmiş, otomatik olarak oluşturulmuş bir metin mesajı göndermeye çalışır. Potansiyel kurbanların fidye yazılımını tıklayıp indirme şansını artırmak için Filecoder virüsü ilginç bir numara uygular. Kusurlu metin mesajında bulunan bağlantı, bir uygulama olarak tanıtılır. Daha da önemlisi, kötü amaçlı yazılım, mesajın potansiyel kurbanın profil fotoğrafını içermesini sağlar. Ayrıca fotoğraf, kurbanın halihazırda kullanmakta olduğu bir uygulamanın içine sığacak şekilde dikkatlice konumlandırılmış. Gerçekte, fidye yazılımını barındıran kötü niyetli bir sahte uygulamadır.
Daha da önemlisi, Filecoder fidye yazılımının çok dilli olacak şekilde kodlanmış olmasıdır. Diğer bir deyişle, virüslü cihazın dil ayarına bağlı olarak, mesajlar 42 olası dil sürümünden birinde gönderilebilir. Kötü amaçlı yazılım ayrıca, algılanan özgünlüğü artırmak için kişinin adını mesaja otomatik olarak ekler.
Filecoder Ransomware Nasıl Bulaşır ve Çalışır?
Kötü amaçlı yazılımın oluşturduğu bağlantılar genellikle kurbanları cezbetmeye çalışan bir uygulama içerir. Sahte uygulamanın asıl amacı, arka planda gizlice çalışmaktır. Bu uygulama, kaynak kodunda sabit kodlanmış komut ve kontrol (C2) ayarlarının yanı sıra Bitcoin cüzdan adreslerini içerir. Saldırganlar ayrıca popüler çevrimiçi not paylaşım platformu Pastebin'i de kullandılar, ancak bu yalnızca dinamik erişim ve muhtemelen daha fazla enfeksiyon noktası için bir kanal görevi görüyor.
Filecoder fidye yazılımı, kusurlu SMS'leri toplu halde başarıyla gönderdikten ve görevi tamamladıktan sonra, tüm depolama dosyalarını bulmak için virüslü cihazı tarar ve çoğunu şifreler. ESET araştırmacıları, kötü amaçlı yazılımın metin dosyaları, resimler, videolar vb. İçin yaygın olarak kullanılan her tür dosya uzantısını şifreleyeceğini keşfettiler. Ancak bazı nedenlerden dolayı, .apk veya .dex gibi Android'e özel dosyalar bırakıyor. Kötü amaçlı yazılım ayrıca sıkıştırılmış .Zip ve .RAR dosyalarına ve 50 MB'ın üzerindeki dosyalara dokunmaz. Araştırmacılar, kötü amaçlı yazılım yaratıcılarının çok daha şiddetli ve üretken bir fidye yazılımı olan WannaCry'den içerik kaldırmak için kötü bir kopyala-yapıştır işi yapmış olabileceğinden şüpheleniyorlar. Tüm şifrelenmiş dosyalar “.seven” uzantısıyla eklenir.
Android mobil cihazdaki dosyaları başarıyla şifreledikten sonra, fidye yazılımı talepleri içeren tipik bir fidye notu gönderir. Araştırmacılar, Filecoder fidye yazılımının kripto para biriminde yaklaşık 98 $ ile 188 $ arasında değişen taleplerde bulunduğunu fark ettiler. Aciliyet duygusu yaratmak için, kötü amaçlı yazılımın ayrıca yaklaşık 3 gün veya 72 saat süren basit bir zamanlayıcısı vardır. Fidye notu ayrıca kaç dosyanın rehin tutulduğunu da belirtiyor.
İlginç bir şekilde, fidye yazılımı cihaz ekranını kilitlemez veya bir akıllı telefonun kullanılmasını engellemez. Başka bir deyişle, kurbanlar Android akıllı telefonlarını kullanmaya devam edebilir, ancak verilerine erişemezler. Ayrıca, mağdurlar kötü amaçlı veya şüphelenilen uygulamayı bir şekilde kaldırsa bile, değişiklikleri geri almaz veya dosyaların şifresini çözmez. Filecoder, bir cihazın içeriğini şifrelerken bir genel ve özel anahtar çifti oluşturur. Açık anahtar, güçlü bir RSA-1024 algoritması ve yaratıcılara gönderilen sabit kodlanmış bir değer ile şifrelenir. Kurban sağlanan Bitcoin ayrıntılarını ödedikten sonra, saldırgan özel anahtarın şifresini çözebilir ve kurbana bırakabilir.
Filecoder Yalnızca Agresif Değil, Ayrıca Uzaklaşmak İçin Karmaşık:
ESET araştırmacıları daha önce, "şifreleme algoritmasını bir şifre çözme algoritmasına değiştirerek" şantaj ücreti ödemeden dosyaların şifresini çözmek için sabit kodlanmış anahtar değerinin kullanılabileceğini bildirmişti. Kısacası, araştırmacılar Filecoder fidye yazılımının yaratıcılarının istemeden bir şifre çözücü oluşturmak için oldukça basit bir yöntemi geride bıraktıklarını hissettiler.
“Hem kampanyanın yürütülmesindeki hem de şifrelemesinin uygulanmasındaki dar hedefleme ve kusurlar nedeniyle, bu yeni fidye yazılımının etkisi sınırlıdır. Ancak geliştiriciler kusurları düzeltir ve operatörler daha geniş kullanıcı gruplarını hedeflemeye başlarsa, Android/Filecoder.C fidye yazılımı ciddi bir tehdit haline gelebilir.”
Araştırmacılar, Filecoder fidye yazılımı hakkındaki gönderilerini güncellediler ve "bu 'sabit kodlanmış anahtarın' kolayca kırılamayan bir RSA-1024 ortak anahtarı olduğunu, dolayısıyla bu özel fidye yazılımı için bir şifre çözücü oluşturmanın neredeyse imkansız olduğunu" açıkladılar.
Garip bir şekilde araştırmacılar, fidye yazılımının kodunda, etkilenen verilerin geri sayım sayacı sona erdikten sonra kaybolacağı iddiasını destekleyecek hiçbir şey olmadığını da gözlemlediler. Ayrıca, kötü amaçlı yazılımın yaratıcıları fidye miktarıyla oynuyor gibi görünüyor. 0,01 Bitcoin veya BTC standart olarak kalırken, sonraki sayılar kötü amaçlı yazılım tarafından oluşturulan kullanıcı kimliği gibi görünüyor. Araştırmacılar, bu yöntemin, şifre çözme anahtarını oluşturmak ve göndermek için kurbanla gelen ödemeleri eşleştirmek için bir kimlik doğrulama faktörü olarak hizmet edebileceğinden şüpheleniyor.