Az ESET szakemberei egy új zsarolóvírus családot fedeztek fel, amely az áldozatok kontaktlistáján szereplő embereknek küld rosszindulatú linkeket SMS-ben. A zsarolóvírust eredetileg felnőtt tartalmakkal kapcsolatos fórumtémákban terjesztették a Reddit oldalain. Az ESET munkatársai jelentették a zsarolóvírus kampányban használt Reddit profilt, amely sajnos azóta sem került letiltásra. A vírus rövid ideig az „XDA fejlesztők” nevű fórumon is futott, amely az Android fejlesztők platformja, de az ESET jelentése alapján az operátorok szerencsére már eltávolították a rosszindulatú üzeneteket.
„Az általunk felfedezett akció egyelőre csekély mértékű és amatőr. A zsarolóvírus maga szintén hibás – különösen a rosszul végrehajtott titkosítás szempontjából. Bármely titkosított fájl helyreállítható a támadók segítsége nélkül is” – mondta Lukáš Štefanko, a nyomozást vezető ESET-kutató. „Ha azonban a fejlesztők kijavítják ezeket a hibákat, és a terjesztés tömegessé válik, ez az új zsarolóvírus komoly veszélyt jelenthet.”
Az új zsarolóvírus figyelemreméltó terjedési mechanizmussal rendelkezik. Mielőtt elkezdené a fájlok titkosítását, egy sor szöveges üzenetet küld az áldozat névjegyzékében szereplő címekre, és arra ösztönzi a címzetteket, hogy kattintsanak egy rosszindulatú linkre, amely a vírus telepítőfájljához vezet. „Elméletileg az is a fertőzések széleskörű terjedését szolgálja, hogy a zsarolóvírus által küldött üzenetnek 42 különféle nyelvre lefordított változata is van. Ám szerencsére még a kevésbé biztonságtudatos felhasználók is könnyen észrevehetik, hogy az üzenetek fordítása kifejezetten gyenge, sőt egyes nyelvi verziók teljesen zagyvák, értelmetlenek. A listát gyaníthatóan egy másik korábbi kártevő kódja alapján a hírhedt WannaCry zsarolóvírusból másolták” – tette hozzá Lukáš Štefanko.
A vírus más furcsaságokkal is rendelkezik: a tipikus androidos zsarolóvírusoktól eltérően az Android/Filecoder.C amatőr módon nem zárja le a képernyőt, hogy blokkolja a felhasználó hozzáférését a készülékhez.
„Az egyedi váltságdíjat megállapító trükk újszerű: még sosem láttunk ilyet egyetlen Android ökoszisztémából származó zsarolóvírusnál sem” – mondta Štefanko. „Valószínűleg úgy tervezték a rendszert, hogy a kifizetéseket hozzárendeljék az áldozatokhoz. Ezt általában úgy oldják meg a kiberbűnözők, hogy minden titkosított eszközhöz egyedi Bitcoin tárcát hoznak létre. Még ha feltehetően ez is volt a céljuk, ebben a jelenlegi kampányban viszont mégis csak egyetlen dedikált Bitcoin tárcát használtak.”
Mit tehetünk?
Az ESET mostani felfedezése rámutat arra, hogy a zsarolóvírusok még mindig komoly fenyegetést jelentenek az androidos eszközök számára. Ahhoz, hogy biztonságban legyünk, érdemes betartani a legfontosabb szabályokat:
- Tartsuk naprakészen eszközeinket, lehetőség szerint állítsuk be, hogy automatikusan frissüljenek, ha új verzió jelenik meg!
- Kizárólag a Google Play áruházból vagy más megbízható forrásból vásároljunk, illetve töltsünk le alkalmazásokat. Bár ezek a felületek sem teljesen mentesek a rosszindulatú programoktól, de mégis sokkal nagyobb eséllyel kerülhetjük el a kártevőket, mint az ellenőrizetlen letöltési helyeken.
- Mielőtt telepítünk egy alkalmazást, alaposan nézzük meg az értékeléseket és visszajelzéseket! Fókuszáljunk a negatív véleményekre, amelyek gyakran megbízható felhasználóktól érkeznek, míg a pozitív hozzászólások mögött sokszor maguk a támadók állnak.
- Alaposan nézzük meg, milyen hozzáférési engedélyeket kér egy alkalmazás! Ha olyan dologhoz szeretne hozzáférni, amelyek nem kapcsolódnak a szolgáltatáshoz, akkor inkább ne telepítsük!
Csizmazia-Darab István, az ESET termékeket forgalmazó Sicontact Kft. IT-biztonsági szakértője hozzátette: „az esetleges adatvesztés elkerülése érdekében célszerű időnként az androidos eszközről is adatmentést végezni külső adathordozóra, vagy felhős tárhelyre. Komolyabb fertőzés esetén ugyanis néha a gyári állapot helyreállítására (factory reset) kényszerülhetünk, mentés birtokában viszont könnyen helyre tudjuk állítani az értékes adatainkat.”