Search
  • mobisec8

האקרים מפיצים כופרה לאנדרואיד דרך מסרונים ופורומים


משפחה חדשה של כופרות לאנדרואיד מופצת ברשת.



כופרה זו מצפינה חלק מסוגי הקבצים במכשיר ומקפיצה הודעת דרישת כופר, היא איננה נועלת את המכשיר כפי שביצעו כופרות קודמות למובייל אבל מצפינה מגוון רחב של קבצים בעלי הסיומות הבאות:

.doc”,.docx”,.xls”,.xlsx”,.ppt”,.pptx”,.pst”,.ost”,.msg”, 
“.eml”,.vsd”,.vsdx”,.txt”,.csv”,.rtf”,.123,.wks”,.wk1”, 
“.pdf”,.dwg”,.onetoc2”,.snt”,.jpeg”,.jpg”,.docb”,.docm”,.dot”,.dotm”,.dotx”,.xlsm”,.xlsb”,.xlw”,.xlt”,.xlm”, 
“.xlc”,.xltx”,.xltm”,.pptm”,.pot”,.pps”,.ppsm”,.ppsx”, 
“.ppam”,.potx”,.potm”,.edb”,.hwp”,.602,.sxi”,.sti”, 
“.sldx”,.sldm”,.sldm”,.vdi”,.vmdk”,.vmx”,.gpg”,.aes”, 
“.ARC,.PAQ,.bz2”,.tbk”,.bak”,.tar”,.tgz”,.gz”,.7z”, 
“.rar”,.zip”,.backup”,.iso”,.vcd”,.bmp”,.png”,.gif”, 
“.raw”,.cgm”,.tif”,.tiff”,.nef”,.psd”,.ai”,.svg”,.djvu”, 
“.m4u”,.m3u”,.mid”,.wma”,.flv”,.3g2”,.mkv”,.3gp”, 
“.mp4”,.mov”,.avi”,.asf”,.mpeg”,.vob”,.mpg”,.wmv”, 
“.fla”,.swf”,.wav”,.mp3”,.sh”,.class”,.jar”,.java”,.rb”,.asp”,.php”,.jsp”,.brd”,.sch”,.dch”,.dip”,.pl”,.vb”, 
“.vbs”,.ps1”,.bat”,.cmd”,.js”,.asm”,.h”,.pas”,.cpp”, 
“.c”,.cs”,.suo”,.sln”,.ldf”,.mdf”,.ibd”,.myi”,.myd”, 
“.frm”,.odb”,.dbf”,.db”,.mdb”,.accdb”,.sql”, 
“.sqlitedb”,.sqlite3”,.asc”,.lay6”,.lay”,.mml”,.sxm”, 
“.otg”,.odg”,.uop”,.std”,.sxd”,.otp”,.odp”,.wb2”, 
“.slk”,.dif”,.stc”,.sxc”,.ots”,.ods”,.3dm”,.max”, 
“.3ds”,.uot”,.stw”,.sxw”,.ott”,.odt”,.pem”,.p12”, 
“.csr”,.crt”,.key”,.pfx”,.der”

הכופרה מופצת בשתי דרכים אפשריות: דרך פורומים שונים של מפתחים ב - Reddit או XDA או בפורומים של פורנו באמצעות פוסטים המכילים קישורים מקוצרים או קודי QR.

לאחר שמכשיר הוריד והתקין את האפליקיצה, היא תעשה את מה שהיא אמורה לעשות, אבל ברקע היא תשלח הודעות עם קישורים זדוניים לכל אנשי הקשר שנמצאו במכשיר, לחיצה על הקישור יוביל להורדה שלה וכך היא ממשיכה ומפיצה את עצמה למכשירים נוספים באמצעות מסרונים כמו זה:

ברקע האפליקציה תיצור קשר עם שרתי הניהול שלה, תבצע את ההצפנה של הקבצים במכשיר ותקפיץ הודעת דרישת כופר שתומכת ב 42 שפות (כן, גם בעברית...).



ההודעה כוללת איום שבמידה לא יבוצע תשלום בתוך 72 שעות כל הקבצים במכשיר ימחקו, אם כי אין הוכחה שהקוד הזדוני הנו בעל יכולת לבצע כזו מחיקה.

לפי חוקרים של ESET, ניתן לפתוח את ההצפנה על ידי שימוש ב User ID שהכופרה מציגה ביחד עם קובץ ה - APK הזדוני עצמו, אם כי אין דרך לדעת שמנגנון ההצפנה לא ישתנה בכל רגע.


כרגיל, אני מזהירים וממליצים לא למהר ולהוריד קבצים למכשיר, לא למהר ולהתקין אפליקציות, לא ללחוץ על קישורים חשודים ובטח לא על כאלה שמגיעים במסרונים, גם אם זה הגיע ממישהו שמכירים.

ולא פחות חשוב כדאי שעל המכשיר תהיה מערכת רצינית להגנה מפני איומים, על אחת כמה וכמה אם מדובר במכשיר שמתחבר למערכות מחשוב ארגוניות כגון דואר אלקטרוני, פורטלים או אפליקציות ארגוניות אחרות.


כיצד להגן על התקנים ניידים בארגונכם? צרו קשר ונשמח לסייע לכם: Daniel.Ashenazi@kmt.co.il

0 views
  • Grey Facebook Icon
  • Grey LinkedIn Icon

10 Halapid St. Petah Tikva, Israel

2017 Mobisec Technologies . All rights Reserved