Google Android
Mobil cihazlar için yeni bir fidye yazılımı çevrimiçi olarak ortaya çıktı. Değişen ve gelişen dijital virüs, Google'ın Android işletim sistemini çalıştıran akıllı telefonları hedef alıyor. Kötü amaçlı yazılım, basit ama akıllıca gizlenmiş SMS mesajıyla giriş yapmaya çalışır ve ardından cep telefonunun dahili sistemini derinlemesine araştırır. Kritik ve hassas rehineleri tutmanın yanı sıra, yeni solucan, ele geçirilen akıllı telefonun iletişim platformları aracılığıyla agresif bir şekilde diğer kurbanlara yayılmaya çalışıyor. Yeni fidye yazılımı ailesi, hedeflenen siber saldırılara karşı giderek daha güvenli olduğu düşünülen Google'ın Android işletim sisteminde önemli ancak önemli bir dönüm noktasına işaret ediyor.
Popüler antivirüs, güvenlik duvarı ve diğer dijital koruma araçları geliştiricisi ESET için çalışan siber güvenlik uzmanları, Google'ın Android mobil işletim sistemine saldırmak için tasarlanmış yeni bir fidye yazılımı ailesi keşfetti. Araştırmacılar, dijital Truva atının yaymak için SMS mesajlarını kullandığını belirtti. ESET araştırmacıları, yeni kötü amaçlı yazılımı Android / Filecoder.C olarak adlandırdılar ve bunun artan etkinliğini gözlemlediler. Bu arada, fidye yazılımı oldukça yeni gibi görünüyor, ancak yeni Android kötü amaçlı yazılım tespitlerinde iki yıllık bir düşüşün sonuna işaret ediyor. Basitçe ifade etmek gerekirse, bilgisayar korsanlarının akıllı telefon işletim sistemlerini hedeflemeye yönelik ilgisinin arttığı görülüyor. Sadece bugün birden fazla haber verdik Apple iPhone iOS işletim sisteminde keşfedilen 'Sıfır Etkileşim' güvenlik açıkları .
Filecoder Temmuz 2019'dan Beri Aktif Ancak Akıllı Sosyal Mühendislik Yoluyla Hızlı ve Agresif Bir Şekilde Yayılıyor
Slovak antivirüs ve siber güvenlik şirketine göre, Filecoder son zamanlarda vahşi ortamda gözlemlendi. ESET araştırmacıları, fidye yazılımının 12 Temmuz 2019'dan beri aktif olarak yayıldığını fark ettiklerini iddia ediyorlar. Basitçe söylemek gerekirse, kötü amaçlı yazılım bir aydan daha kısa bir süre önce ortaya çıkmış gibi görünüyor, ancak etkisi her geçen gün artıyor olabilir.
Virüs özellikle ilginç çünkü Google'ın Android işletim sistemine yapılan saldırılar yaklaşık iki yıldır istikrarlı bir şekilde azalıyor. Bu, Android'in çoğunlukla virüslere karşı bağışık olduğu veya bilgisayar korsanlarının özellikle akıllı telefonların peşine düşmediği ve bunun yerine masaüstü bilgisayarları veya diğer donanım ve elektronik cihazları hedef aldığına dair genel bir algı yarattı. Akıllı telefonlar oldukça kişisel cihazlardır ve bu nedenle şirketler ve kuruluşlarda kullanılan cihazlara kıyasla sınırlı potansiyel hedefler olarak kabul edilebilirler. Bilgisayarları veya elektronik cihazları bu kadar büyük ortamlarda hedeflemenin, tehlikeye atılmış bir makine diğer birçok cihazdan ödün vermek için hızlı bir yol sunabileceği için birçok potansiyel faydası vardır. Daha sonra, hassas bilgileri seçmek için bilgileri analiz etme meselesi. Bu arada, birkaç bilgisayar korsanlığı grubunun büyük ölçekli casusluk saldırıları gerçekleştirmeye odaklandı .
GÜVENLİK UYARISI: Android Fidye Yazılımı FileCoder Gerilimi Ortaya Çıkıyor: Android'de yeni bir fidye yazılımı türü ortaya çıktı #mobile cihazlar. Android 5.1 ve sonraki işletim sistemini çalıştıranları hedefler. Bu Android fidye yazılımı türünün adı ... https://t.co/edFpo45qbp pic.twitter.com/9r39kxS5iB
- Aquia Çözümleri (@AquiaSolutions) 30 Temmuz 2019
Öte yandan yeni fidye yazılımı, yalnızca Android akıllı telefonun sahibinin kişisel bilgilere erişimini kısıtlamaya çalışıyor. Kötü amaçlı yazılımın kişisel veya hassas bilgileri sızdırmaya veya çalmaya çalıştığına veya finansal bilgilere erişmek için tuş kaydediciler veya etkinlik izleyiciler gibi diğer yükleri yüklemeye çalıştığına dair hiçbir gösterge yoktur.
Filecoder Ransomware Google Android İşletim Sisteminde Nasıl Yayılır?
Araştırmacılar, Filecoder fidye yazılımının Android mesajlaşma veya SMS sistemi yoluyla yayıldığını keşfettiler, ancak çıkış noktası başka bir yerde. Virüs, Reddit ve Android geliştirici mesaj panosu XDA Developers dahil olmak üzere çevrimiçi forumlarda kötü amaçlı yayınlar aracılığıyla başlatılıyor gibi görünüyor. ESET, kötü amaçlı gönderilere işaret ettikten sonra, XDA Geliştiricileri hızlı bir şekilde harekete geçti ve şüpheli medyayı kaldırdı, ancak şüpheli içerik Reddit'te yayınlandığı sırada hala yayındaydı.
ESET tarafından bulunan kötü amaçlı gönderilerin ve yorumların çoğu, kurbanları kötü amaçlı yazılımı indirmeye çekmeye çalışır. Virüs, genellikle pornografik materyalle ilişkilendirilen içeriği taklit ederek kurbanı kendine çeker. Bazı durumlarda araştırmacılar, yem olarak kullanılan bazı teknik konuları da gözlemlediler. Çoğu durumda, saldırganlar kötü amaçlı uygulamalara işaret eden bağlantılar veya QR kodları içeriyordu.
Erişilmeden önce anında tespit edilmesini önlemek için, kötü amaçlı yazılımın bağlantıları bit.ly bağlantıları olarak maskelenir. Geçmişte, şüphelenmeyen İnternet kullanıcılarını kötü amaçlı web sitelerine yönlendirmek, kimlik avı ve diğer siber saldırılar gerçekleştirmek için bu tür birkaç bağlantı kısaltma sitesi kullanılmıştır.
Bilgisayar korsanları Kişilerinize SMS yoluyla Android Fidye Yazılımını Yayan ve Cihaz Dosyalarınızı Şifreleyin: Android / Filecoder C adlı yeni bir Android Ransomware ailesi, çeşitli çevrimiçi forumlar dağıttı ve ayrıca kurbanın kişi listesini kullanarak SMS için ... https://t.co/ddqwtfswl5 pic.twitter.com/6PJjmNyZKB
- Şah Şeyh (@shah_sheikh) 30 Temmuz 2019
Filecoder fidye yazılımı kendini kurbanın Android mobil cihazına sağlam bir şekilde yerleştirdikten sonra, kullanıcının bilgilerini hemen kilitlemeye başlamaz. Bunun yerine, kötü amaçlı yazılım önce Android sisteminin kişilerini basar. Araştırmacılar, Filecoder fidye yazılımının bazı ilginç ama rahatsız edici derecede agresif davranışlarını gözlemlediler. Esasen, kötü amaçlı yazılım kendini yaymak için kurbanın kişi listesini hızlı ama kapsamlı bir şekilde tarar.
Kötü amaçlı yazılım, Android mobil cihazının kişi listesindeki her girişe dikkatlice yazılmış, otomatik olarak oluşturulmuş bir kısa mesaj göndermeye çalışır. Potansiyel kurbanların fidye yazılımına tıklayıp indirme şansını artırmak için Filecoder virüsü ilginç bir numara kullanıyor. Bozuk metin mesajının içerdiği bağlantı bir uygulama olarak tanıtılır. Daha da önemlisi, kötü amaçlı yazılım, iletinin potansiyel kurbanın profil fotoğrafını içermesini sağlar. Ayrıca fotoğraf, kurbanın halihazırda kullandığı bir uygulamaya sığacak şekilde dikkatlice konumlandırılmıştır. Gerçekte, fidye yazılımını barındıran kötü niyetli sahte bir uygulamadır.
Daha da endişe verici olan, Filecoder fidye yazılımının çok dilli olacak şekilde kodlanmış olmasıdır. Diğer bir deyişle, virüslü cihazın dil ayarına bağlı olarak mesajlar 42 olası dil sürümünden birinde gönderilebilir. Kötü amaçlı yazılım ayrıca algılanan gerçekliği artırmak için kişinin adını mesajın içine otomatik olarak ekler.
Filecoder Ransomware Nasıl Bulaşır ve Çalışır?
Kötü amaçlı yazılımın oluşturduğu bağlantılar genellikle kurbanları cezbetmeye çalışan bir uygulama içerir. Sahte uygulamanın gerçek amacı arka planda gizlice çalışmaktır. Bu uygulama, kodlanmış komut ve kontrol (C2) ayarlarının yanı sıra kaynak kodunda Bitcoin cüzdan adreslerini içerir. Saldırganlar aynı zamanda popüler çevrimiçi not paylaşım platformu Pastebin'i de kullandı, ancak bu yalnızca dinamik erişim ve muhtemelen başka bulaşma noktaları için bir kanal görevi görüyor.
Filecoder fidye yazılımı, bozuk SMS'i toplu olarak başarıyla gönderdikten ve görevi tamamladıktan sonra, tüm depolama dosyalarını bulmak için virüslü cihazı tarar ve bunların çoğunu şifreler. ESET araştırmacıları, kötü amaçlı yazılımın metin dosyaları, resimler, videolar vb. İçin yaygın olarak kullanılan tüm dosya uzantılarını şifreleyeceğini keşfettiler. Ancak bazı nedenlerden dolayı, .apk veya .dex gibi Android'e özel dosyalar bırakıyor. Kötü amaçlı yazılım ayrıca sıkıştırılmış .Zip ve .RAR dosyalarına ve 50 MB'nin üzerindeki dosyalara dokunmaz. Araştırmacılar, kötü amaçlı yazılım yaratıcılarının, çok daha ciddi ve üretken bir fidye yazılımı olan WannaCry'deki içeriği kaldırmak için kötü bir kopyala-yapıştır işi yapmış olabileceğinden şüpheleniyor. Şifrelenmiş tüm dosyalara '.seven' uzantısı eklenir.
Araştırmacılar, kurbanların kişilerine yayılmaya çalışan ve bazı alışılmadık hileler uygulayan yeni bir Android fidye yazılımı ailesi olan Android / Filecoder.C'yi keşfetti. https://t.co/5iCvkVbAND @kafadergisi @DURUM #ransomware #Android pic.twitter.com/d150eY4N7X
- David Bisson (@DMBisson) 30 Temmuz 2019
Android mobil cihazdaki dosyaları başarıyla şifreledikten sonra, fidye yazılımı talepleri içeren tipik bir fidye notu yanıp söner. Araştırmacılar, Filecoder fidye yazılımının kripto para biriminde yaklaşık 98 ila 188 $ arasında değişen taleplerde bulunduğunu fark ettiler. Bir aciliyet duygusu yaratmak için, kötü amaçlı yazılımın ayrıca yaklaşık 3 gün veya 72 saat süren basit bir zamanlayıcısı da vardır. Fidye notunda ayrıca kaç dosyanın rehin tutulduğu belirtiliyor.
İlginç bir şekilde, fidye yazılımı cihazın ekranını kilitlemiyor veya bir akıllı telefonun kullanılmasını engellemiyor. Başka bir deyişle, kurbanlar yine de Android akıllı telefonlarını kullanabilir ancak verilerine erişemeyecekler. Ayrıca, kurbanlar kötü amaçlı veya şüpheli uygulamayı bir şekilde kaldırsalar bile değişiklikleri geri almaz veya dosyaların şifresini çözmez. Filecoder, bir cihazın içeriğini şifrelerken genel ve özel bir anahtar çifti oluşturur. Açık anahtar, güçlü bir RSA-1024 algoritması ve yaratıcılara gönderilen sabit kodlu bir değerle şifrelenir. Kurban sağlanan Bitcoin ayrıntılarını ödedikten sonra, saldırgan özel anahtarın şifresini çözebilir ve kurbana bırakabilir.
Filecoder Yalnızca Agresif Değil, Aynı Zamanda Uzaklaşması da Karmaşık:
ESET araştırmacıları daha önce, sabit kodlanmış anahtar değerinin 'şifreleme algoritmasını bir şifre çözme algoritmasına değiştirerek' şantaj ücreti ödemeden dosyaların şifresini çözmek için kullanılabileceğini bildirmişti. Kısacası, araştırmacılar, Filecoder fidye yazılımının yaratıcılarının bir şifre çözücü oluşturmak için yanlışlıkla oldukça basit bir yöntemi geride bıraktıklarını hissettiler.
'Dar hedefleme ve hem kampanyanın yürütülmesinde hem de şifrelemesinin uygulanmasındaki kusurlar nedeniyle, bu yeni fidye yazılımının etkisi sınırlıdır. Ancak, geliştiriciler kusurları düzeltir ve operatörler daha geniş kullanıcı gruplarını hedef almaya başlarsa, Android / Filecoder.C fidye yazılımı ciddi bir tehdit haline gelebilir. '
araştırmacılar Filecoder fidye yazılımı hakkındaki gönderilerini güncelledi ve 'bu' sabit kodlu anahtar 'ın bir RSA-1024 genel anahtarı olduğu ve kolayca kırılamayacağı, dolayısıyla bu fidye yazılımı için bir şifre çözücü oluşturmanın neredeyse imkansız olduğu açıklandı.
Garip bir şekilde araştırmacılar, fidye yazılımının kodunda, geri sayım sayacı sona erdikten sonra etkilenen verilerin kaybolacağı iddiasını destekleyecek hiçbir şey olmadığını gözlemlediler. Dahası, kötü amaçlı yazılımın yaratıcıları fidye miktarıyla oynuyor gibi görünüyor. 0.01 Bitcoin veya BTC standart kalırken, sonraki sayılar kötü amaçlı yazılım tarafından oluşturulan kullanıcı kimliği gibi görünüyor. Araştırmacılar, bu yöntemin şifre çözme anahtarını oluşturmak ve göndermek için kurbanla gelen ödemeleri eşleştirmek için bir kimlik doğrulama faktörü olarak hizmet edebileceğinden şüpheleniyorlar.
Etiketler android
