I ricercatori ESET hanno individuato la nuova famiglia di ransomware “Android/Filecoder.C”, che utilizza la lista di contatti della vittima per inviare SMS contenenti link malevoli. Android/Filecoder.C si è diffuso attraverso alcuni topic di Reddit con contenuti per adulti e, per un breve periodo di tempo, anche tramite forum della nota community di sviluppatori Android XDA.
Android / Filecoder.C si distingue per il suo meccanismo di diffusione. Prima di iniziare a crittografare i file, il ransomware invia una serie di messaggi di testo a tutti gli indirizzi nell’elenco dei contatti della vittima, inducendo i destinatari a fare clic su un collegamento dannoso che porta al file di installazione del ransomware.
Secondo i ricercatori, in teoria, questo meccanismo potrebbe portare a una grande diffusione di infezioni, tanto più che il malware ha 42 versioni linguistiche del messaggio dannoso. Fortunatamente, anche gli utenti meno attenti possono facilmente notare che i messaggi sono tradotti male e che alcune versioni non sembrano avere alcun senso.
Oltre al suo meccanismo di diffusione non tradizionale, Android / Filecoder.C presenta diverse anomalie nella modalità di crittografia, escludendo i file di grandi dimensioni – superiori ai 50MB – e le immagini inferiori a 150KB. Nell’elenco di file da crittografare mancherebbero anche alcune delle estensioni tipiche per Android.
Ci sono poi altri elementi che caratterizzano Android / Filecoder.C rispetto ai tipici ransomware per Android: Filecoder.C non impedisce infatti agli utenti di accedere ai propri dispositivi bloccando completamente lo schermo. Inoltre il riscatto non è preimpostato e la quantità di denaro chiesto dai truffatori viene generata dinamicamente usando l’UserId assegnato dal ransomware alla vittima, con una richiesta unica per ogni utente, che varia tra 0,01 e 0,02 BTC.
Questa scoperta dimostra che i ransomware rappresentano ancora una minaccia per l’ecosistema Android; per stare al sicuro i ricercatori consigliano di mantenere aggiornati i dispositivi, utilizzare una buona soluzione di sicurezza mobile e scaricare le applicazioni solo dal Google Play Store o altri store affidabili.
