Gdy ofiara kliknie w link lub zeskanuje kod QR, złośliwe oprogramowanie instaluje się w systemie. Wykrywa ono język urządzenia, a następnie wysyła wiadomości SMS do wszystkich kontaktów znajdujących się w smartfonie. Treść komunikatu sugeruje, że zdjęcia odbiorcy zostały użyte w nieodpowiedni sposób w aplikacji zawierającej treści pornograficzne. Dołączony link zawiera oczywiście wirusa, który w ten sam sposób infekuje telefon nowej ofiary.
Następnie ransomware szyfruje smartfon i wymusza okup w bitcoinach. Co ciekawe, kwota za odszyfrowanie nie jest stała jak w przypadku innych zagrożeń tego typu, a zmienia się dynamicznie (od 0,01-0,02 BTC) w zależności od unikatowego ID ofiary. – To nowa sztuczka. Do tej pory nie widzieliśmy takiego zastosowania w oprogramowaniu ransomware wymierzonego w telefony z systemem Android – tłumaczy Lukas Stefanko, analityk firmy ESET.
Ransomware z… luką
Na szczęście dla użytkowników, oprogramowanie posiada pewne luki, więc możliwe jest odszyfrowanie plików bez płacenia okupu. Wirus nie szyfruje dużych archiwów (powyżej 50 MB) oraz małych obrazów (poniżej 150 KB). Z badań analityków wynika, że Android/Filecoder.C omija też pliki z typowymi dla Androida rozszerzeniami (.apk czy .dex). Lukas Stefanko sugeruje, że lista rozszerzeń mogła zostać skopiowana z WannaCry, który atakował systemy Windows.
Ataki ransomware przeprowadzane są głównie na dużych instytucjach. Zaledwie kilka dni temu zainfekowano systemy elektrowni w Johannesburgu, pozbawiając mieszkańców prądu. Wcześniej norweska firma Norks Hydro straciła w wyniku ataku 57 mln dolarów. | CHIP