Ransomware ใหม่ใช้ประโยชน์จากข้อความ SMS ธรรมดาบนระบบปฏิบัติการ Android ของ Google จากนั้นจึงแพร่กระจายไปยังผู้ติดต่อที่เก็บไว้อย่างก้าวร้าวโดยใช้รูปถ่ายของเหยื่อ
ransomware ใหม่สำหรับอุปกรณ์มือถือได้ปรากฏขึ้นทางออนไลน์แล้ว ไวรัสดิจิทัลที่กลายพันธุ์และกำลังพัฒนามุ่งเป้าไปที่สมาร์ทโฟนที่ใช้ระบบปฏิบัติการ Android ของ Google มัลแวร์พยายามเข้ามาทางข้อความ SMS ที่เรียบง่าย แต่แฝงตัวมาอย่างชาญฉลาดจากนั้นจะขุดลึกลงไปในระบบภายในของโทรศัพท์มือถือ นอกจากจับตัวประกันที่สำคัญและอ่อนไหวแล้วหนอนตัวใหม่ยังพยายามแพร่กระจายไปยังเหยื่อรายอื่น ๆ ผ่านทางแพลตฟอร์มการสื่อสารของสมาร์ทโฟนที่ถูกบุกรุกอย่างจริงจัง แรนซัมแวร์ตระกูลใหม่ถือเป็นก้าวสำคัญแต่เกี่ยวข้องกับระบบปฏิบัติการ Android ของ Google ที่ได้รับการพิจารณาว่าปลอดภัยมากขึ้นจากการโจมตีทางไซเบอร์แบบกำหนดเป้าหมาย
ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ที่ทำงานให้กับโปรแกรมป้องกันไวรัสไฟร์วอลล์และนักพัฒนาเครื่องมือป้องกันดิจิทัลอื่น ๆ ที่ได้รับความนิยมอย่าง ESET ได้ค้นพบแรนซัมแวร์ตระกูลใหม่ที่ออกแบบมาเพื่อโจมตีระบบปฏิบัติการมือถือ Android ของ Google นักวิจัยตั้งข้อสังเกตว่าม้าโทรจันดิจิทัลใช้การส่งข้อความ SMS เพื่อแพร่กระจาย นักวิจัยของ ESET ได้ขนานนามมัลแวร์ตัวใหม่นี้ว่า Android / Filecoder.C และได้สังเกตเห็นกิจกรรมที่เพิ่มขึ้นเช่นเดียวกัน อนึ่งแรนซัมแวร์ดูเหมือนจะค่อนข้างใหม่ แต่ก็ช่วยให้การตรวจจับมัลแวร์ Android ใหม่ลดลงถึงสองปี พูดง่ายๆก็คือดูเหมือนว่าแฮกเกอร์จะให้ความสนใจในการกำหนดเป้าหมายระบบปฏิบัติการสมาร์ทโฟนอีกครั้ง เพียงแค่วันนี้เรารายงานเกี่ยวกับหลาย ช่องโหว่ด้านความปลอดภัย “Zero Interaction” ที่ค้นพบภายในระบบปฏิบัติการ Apple iPhone iOS.
Filecoder เปิดใช้งานตั้งแต่เดือนกรกฎาคม 2019 แต่แพร่กระจายอย่างรวดเร็วและก้าวร้าวผ่าน Clever Social Engineering
ตามที่ บริษัท ป้องกันไวรัสและความปลอดภัยในโลกไซเบอร์ของสโลวาเกียระบุว่า Filecoder ได้รับการสังเกตอย่างแพร่หลายเมื่อไม่นานมานี้ นักวิจัยของ ESET อ้างว่าพวกเขาสังเกตเห็น ransomware แพร่กระจายอย่างแข็งขันตั้งแต่วันที่ 12 กรกฎาคม 2019 พูดง่ายๆก็คือมัลแวร์ดูเหมือนจะปรากฏตัวน้อยกว่าหนึ่งเดือนที่ผ่านมา แต่ผลกระทบอาจเพิ่มขึ้นทุกวัน
ไวรัสนี้น่าสนใจเป็นพิเศษเนื่องจากการโจมตีระบบปฏิบัติการ Android ของ Google ลดลงอย่างต่อเนื่องเป็นเวลาประมาณสองปี สิ่งนี้ทำให้เกิดการรับรู้โดยทั่วไปว่า Android ส่วนใหญ่มีภูมิคุ้มกันต่อไวรัสหรือว่าแฮกเกอร์ไม่ได้ติดตามสมาร์ทโฟนโดยเฉพาะและมุ่งเป้าไปที่คอมพิวเตอร์เดสก์ท็อปหรือฮาร์ดแวร์และอิเล็กทรอนิกส์ สมาร์ทโฟนเป็นอุปกรณ์ส่วนบุคคลดังนั้นจึงถือได้ว่าเป็นเป้าหมายที่มีศักยภาพ จำกัด เมื่อเทียบกับอุปกรณ์ที่ใช้ใน บริษัท และองค์กร การกำหนดเป้าหมายพีซีหรืออุปกรณ์อิเล็กทรอนิกส์ในการตั้งค่าขนาดใหญ่ดังกล่าวมีประโยชน์หลายประการเนื่องจากเครื่องที่ถูกบุกรุกสามารถนำเสนอวิธีที่รวดเร็วในการบุกรุกอุปกรณ์อื่น ๆ จากนั้นจึงเป็นเรื่องของการวิเคราะห์ข้อมูลเพื่อเลือกข้อมูลที่ละเอียดอ่อน อนึ่งดูเหมือนว่ามีกลุ่มแฮ็กหลายกลุ่ม มุ่งเน้นไปที่การโจมตีหน่วยสืบราชการลับขนาดใหญ่.
ในทางกลับกันแรนซั่มแวร์ตัวใหม่เพียงพยายาม จำกัด ไม่ให้เจ้าของสมาร์ทโฟน Android เข้าถึงข้อมูลส่วนบุคคล ไม่มีข้อบ่งชี้ว่ามัลแวร์พยายามรั่วไหลหรือขโมยข้อมูลส่วนบุคคลหรือข้อมูลที่ละเอียดอ่อนหรือติดตั้งเพย์โหลดอื่น ๆ เช่นคีย์ล็อกเกอร์หรือตัวติดตามกิจกรรมเพื่อพยายามเข้าถึงข้อมูลทางการเงิน
Filecoder Ransomware แพร่กระจายบนระบบปฏิบัติการ Google Android อย่างไร
นักวิจัยค้นพบว่า Filecoder ransomware แพร่กระจายผ่านระบบส่งข้อความหรือระบบ SMS ของ Android แต่จุดเริ่มต้นของมันอยู่ที่อื่น ดูเหมือนว่าไวรัสจะเปิดตัวผ่านโพสต์ที่เป็นอันตรายในฟอรัมออนไลน์รวมถึง Reddit และกระดานส่งข้อความของนักพัฒนาซอฟต์แวร์ Android XDA Developers หลังจาก ESET ชี้ให้เห็นโพสต์ที่เป็นอันตรายนักพัฒนา XDA ได้ดำเนินการอย่างรวดเร็วและกำจัดสื่อที่ต้องสงสัย แต่เนื้อหาที่น่าสงสัยยังคงอยู่ในขณะที่เผยแพร่บน Reddit
โพสต์และความคิดเห็นที่เป็นอันตรายส่วนใหญ่ที่พบโดย ESET พยายามหลอกล่อเหยื่อให้ดาวน์โหลดมัลแวร์ ไวรัสดึงดูดเหยื่อโดยการเลียนแบบเนื้อหาที่มักเกี่ยวข้องกับสื่อลามกอนาจาร ในบางกรณีนักวิจัยยังสังเกตเห็นหัวข้อทางเทคนิคบางอย่างที่ถูกใช้เป็นเหยื่อ ในกรณีส่วนใหญ่ผู้โจมตีจะรวมลิงก์หรือรหัส QR ที่ชี้ไปยังแอปที่เป็นอันตราย
เพื่อหลีกเลี่ยงการตรวจจับในทันทีก่อนที่จะเข้าถึงลิงก์ของมัลแวร์จะถูกปิดบังเป็นลิงก์ bit.ly ในอดีตมีการใช้ไซต์ย่อลิงค์หลายแห่งเพื่อนำผู้ใช้อินเทอร์เน็ตที่ไม่สงสัยไปยังเว็บไซต์ที่เป็นอันตรายทำการฟิชชิงและการโจมตีทางไซเบอร์อื่น ๆ
เมื่อ Filecoder ransomware ได้ติดตั้งตัวเองอย่างแน่นหนาภายในอุปกรณ์เคลื่อนที่ Android ของเหยื่อแล้วมันจะไม่เริ่มล็อกข้อมูลของผู้ใช้ในทันที แต่มัลแวร์จะโจมตีผู้ติดต่อของระบบ Android ก่อน นักวิจัยสังเกตเห็นพฤติกรรมที่น่าสนใจ แต่ก้าวร้าวของ Filecoder ransomware โดยพื้นฐานแล้วมัลแวร์จะแพร่กระจายอย่างรวดเร็ว แต่ละเอียดถี่ถ้วนผ่านรายชื่อผู้ติดต่อของเหยื่อเพื่อแพร่กระจายตัวเอง
มัลแวร์พยายามส่งข้อความตัวอักษรที่สร้างขึ้นโดยอัตโนมัติอย่างระมัดระวังไปยังทุกรายการภายในรายชื่อผู้ติดต่อของอุปกรณ์เคลื่อนที่ Android เพื่อเพิ่มโอกาสในการตกเป็นเหยื่อที่อาจเกิดขึ้นจากการคลิกและดาวน์โหลดแรนซัมแวร์ ไวรัส Filecoder ได้ปรับใช้เคล็ดลับที่น่าสนใจ ลิงก์ที่อยู่ในข้อความที่แปดเปื้อนถูกโฆษณาเป็นแอป ที่สำคัญกว่านั้นมัลแวร์ช่วยให้มั่นใจได้ว่าข้อความมีรูปโปรไฟล์ของเหยื่อที่อาจเกิดขึ้น นอกจากนี้ ภาพถ่ายยังถูกจัดวางตำแหน่งอย่างระมัดระวังเพื่อให้พอดีกับแอปที่เหยื่อใช้อยู่แล้ว ในความเป็นจริงมันเป็นแอปปลอมที่เป็นอันตรายซึ่งมีแรนซั่มแวร์อยู่
ที่น่าเป็นห่วงกว่านั้นคือความจริงที่ว่า Filecoder ransomware นั้นถูกเข้ารหัสเป็นหลายภาษา กล่าวอีกนัยหนึ่งขึ้นอยู่กับการตั้งค่าภาษาของอุปกรณ์ที่ติดไวรัสสามารถส่งข้อความในเวอร์ชันภาษาใดภาษาหนึ่งจาก 42 ภาษาที่เป็นไปได้ มัลแวร์ยังแทรกชื่อผู้ติดต่อภายในข้อความโดยอัตโนมัติเพื่อเพิ่มความถูกต้องที่รับรู้
Filecoder Ransomware ติดเชื้อและทำงานอย่างไร
ลิงก์ที่มัลแวร์สร้างขึ้นมักจะมีแอปที่พยายามหลอกล่อเหยื่อ จุดประสงค์ที่แท้จริงของแอปปลอมกำลังทำงานอยู่เบื้องหลังอย่างรอบคอบ แอปนี้มีการตั้งค่าคำสั่งและการควบคุม (C2) แบบฮาร์ดโค้ดรวมถึงที่อยู่กระเป๋าเงิน Bitcoin ภายในซอร์สโค้ด ผู้โจมตียังใช้แพลตฟอร์มแชร์โน้ตออนไลน์ยอดนิยม Pastebin แต่ทำหน้าที่เป็นช่องทางสำหรับการดึงข้อมูลแบบไดนามิกและอาจเป็นจุดติดไวรัสเพิ่มเติม
หลังจากที่ Filecoder ransomware ส่ง SMS ที่ปนเปื้อนเป็นชุดสำเร็จและทำงานเสร็จแล้วระบบจะสแกนอุปกรณ์ที่ติดไวรัสเพื่อค้นหาไฟล์จัดเก็บข้อมูลทั้งหมดและเข้ารหัสส่วนใหญ่ นักวิจัยของ ESET ได้ค้นพบมัลแวร์ดังกล่าวจะเข้ารหัสนามสกุลไฟล์ทุกประเภทที่มักใช้กับไฟล์ข้อความรูปภาพวิดีโอ ฯลฯ แต่ด้วยเหตุผลบางประการมันจะออกจากไฟล์เฉพาะของ Android เช่น. apk หรือ. dex มัลแวร์ยังไม่สัมผัสไฟล์. ZIP และ. RAR ที่บีบอัดและไฟล์ที่มีขนาดเกิน 50 MB นักวิจัยสงสัยว่าผู้สร้างมัลแวร์อาจทำการคัดลอกวางที่ไม่ดีในการยกเนื้อหาจาก WannaCry ซึ่งเป็นแรนซัมแวร์รูปแบบที่รุนแรงและอุดมสมบูรณ์กว่ามาก ไฟล์ที่เข้ารหัสทั้งหมดจะต่อท้ายด้วยนามสกุล“ .seven”
หลังจากเข้ารหัสไฟล์บนอุปกรณ์มือถือ Android สำเร็จแล้ว ransomware จะกะพริบโน้ตเรียกค่าไถ่ทั่วไปที่มีข้อเรียกร้อง นักวิจัยสังเกตเห็นว่า Filecoder ransomware มีความต้องการตั้งแต่ประมาณ $ 98 ถึง $ 188 ในสกุลเงินดิจิทัล เพื่อสร้างความรู้สึกเร่งด่วน มัลแวร์ยังมีตัวจับเวลาอย่างง่ายที่กินเวลาประมาณ 3 วันหรือ 72 ชั่วโมง บันทึกค่าไถ่ยังระบุจำนวนไฟล์ที่จับเป็นตัวประกัน
ที่น่าสนใจคือ ransomware ไม่ได้ล็อกหน้าจออุปกรณ์หรือป้องกันไม่ให้ใช้สมาร์ทโฟน กล่าวอีกนัยหนึ่งเหยื่อยังคงสามารถใช้สมาร์ทโฟน Android ได้ แต่จะไม่สามารถเข้าถึงข้อมูลได้ ยิ่งไปกว่านั้นแม้ว่าเหยื่อจะถอนการติดตั้งแอพที่เป็นอันตรายหรือต้องสงสัย แต่ก็ไม่ได้ยกเลิกการเปลี่ยนแปลงหรือถอดรหัสไฟล์ Filecoder สร้างคู่คีย์สาธารณะและส่วนตัวเมื่อเข้ารหัสเนื้อหาของอุปกรณ์ คีย์สาธารณะถูกเข้ารหัสด้วยอัลกอริทึม RSA-1024 ที่มีประสิทธิภาพและค่าฮาร์ดโค้ดซึ่งส่งไปยังผู้สร้าง หลังจากที่เหยื่อจ่ายเงินผ่านรายละเอียด Bitcoin ที่ให้ไว้ผู้โจมตีสามารถถอดรหัสคีย์ส่วนตัวและปล่อยให้เหยื่อได้
Filecoder ไม่เพียง แต่ก้าวร้าว แต่ยังซับซ้อนในการหลีกหนี:
ก่อนหน้านี้นักวิจัยของ ESET รายงานว่าค่าคีย์ฮาร์ดโค้ดสามารถใช้ในการถอดรหัสไฟล์ได้โดยไม่ต้องเสียค่าธรรมเนียมแบล็กเมล์ด้วยการ“ เปลี่ยนอัลกอริทึมการเข้ารหัสเป็นอัลกอริทึมการถอดรหัส” ในระยะสั้นนักวิจัยรู้สึกว่าผู้สร้าง Filecoder ransomware ทิ้งวิธีการที่ค่อนข้างง่ายในการสร้างตัวถอดรหัสโดยไม่ได้ตั้งใจ
“ เนื่องจากการกำหนดเป้าหมายที่แคบและข้อบกพร่องทั้งในการดำเนินการของแคมเปญและการใช้งานการเข้ารหัสผลกระทบของ ransomware ใหม่นี้จึงมี จำกัด อย่างไรก็ตามหากนักพัฒนาแก้ไขข้อบกพร่องและผู้ให้บริการเริ่มกำหนดเป้าหมายกลุ่มผู้ใช้ที่กว้างขึ้น ransomware Android / Filecoder.C อาจกลายเป็นภัยคุกคามที่ร้ายแรงได้”
นักวิจัยได้อัปเดตโพสต์ของพวกเขาเกี่ยวกับ Filecoder ransomware และชี้แจงว่า "" คีย์ที่เข้ารหัส "นี้เป็นคีย์สาธารณะ RSA-1024 ซึ่งไม่สามารถแตกหักได้ง่ายดังนั้นการสร้างตัวถอดรหัสสำหรับแรนซัมแวร์นี้จึงแทบจะเป็นไปไม่ได้เลย"
น่าแปลกที่นักวิจัยยังสังเกตเห็นว่าไม่มีสิ่งใดในโค้ดของแรนซัมแวร์ที่จะสนับสนุนการอ้างว่าข้อมูลที่ได้รับผลกระทบจะสูญหายไปหลังจากหมดเวลานับถอยหลัง ยิ่งไปกว่านั้นผู้สร้างมัลแวร์ดูเหมือนจะเล่นกับเงินค่าไถ่ ในขณะที่ 0.01 Bitcoin หรือ BTC ยังคงเป็นมาตรฐาน แต่ตัวเลขที่ตามมาดูเหมือนจะเป็นรหัสผู้ใช้ที่สร้างโดยมัลแวร์ นักวิจัยสงสัยว่าวิธีนี้อาจใช้เป็นปัจจัยในการตรวจสอบสิทธิ์เพื่อจับคู่การชำระเงินที่เข้ามากับเหยื่อเพื่อสร้างและส่งคีย์การถอดรหัส
