Παγκόσμια καμπάνια XMPP Android Ransomware χτυπά 10.000 συσκευές
Η ερευνητική ομάδα για malware της Check Point εντόπισε ένα νέο είδος mobile ransomware που κρυπτογραφεί το περιεχόμενο των Android smartphones εισάγοντας μια νέα εκδοχή, τόσο στο πώς επικοινωνεί με τα ‘αφεντικά’ του όσο και πώς παρακινεί τα θύματά του σε δράση.
«Εκτιμούμε ότι δεκάδες χιλιάδες συσκευές έχουν μολυνθεί. Έχουμε ενδείξεις ότι οι χρήστες έχουν ήδη καταβάλλει εκατοντάδες χιλιάδες δολάρια για να πάρουν πίσω τα αρχεία τους μη κρυπτογραφημένα, και το πραγματικό ποσοστό μόλυνσης μπορεί να είναι πολύ υψηλότερο», αναφέρει η ερευνητική ομάδα σε μια δημοσίευση στο blog της.
Η ενημερωμένη έκδοση του Simplocker μεταμφιέζεται σε app stores και σε download pages ως νόμιμη εφαρμογή , και χρησιμοποιεί ένα open instant messaging protocol για να συνδεθείτε στους command and control servers.
Τώρα, ο ιδιοκτήτης του τηλεφώνου βλέπει ένα μήνυμα να τον ενημερώνει πως τα αρχεία του παρακρατώνται ως όμηροι. Το μήνυμα, το οποίο μοιάζει με ένα επίσημο κείμενο, δεν είναι επίσης ένα νέο τέχνασμα του γνωστού μηνύματος της NSA: η «NSA» φέρεται να κατηγορεί τον κάτοχο του κινητού τηλεφώνου για λάθος ‘κατορθώματα’, όπως περιήγηση σε τόπους με πορνογραφικό περιεχόμενο στο κινητό του, ή παραβίαση των δικαιωμάτων πνευματικής ιδιοκτησίας κρατώντας/χρησιμοποιώντας προστατευόμενο περιεχόμενο, όπως βίντεο, μουσική, κλπ, και για να επανακτήσει πρόσβαση στη συσκευή του, θα πρέπει να πληρώσει ένα «πρόστιμο».
“Το θύμα φαίνεται να μην έχει κάποια εναλλακτική λύση. Η εφαρμογή δεν μπορεί να αφαιρεθεί από έναν τυπικό χρήστη. Ακόμα κι αν ο χρήστης ήταν με κάποιο τρόπο σε θέση να το αφαιρέσει, τα αρχεία του, θα εξακολουθούν να παραμένουν κρυπτογραφημένα. Η καταβολή των λύτρων, όμως, μάλλον δεν θα φτάσει ποτέ στην NSA, αλλά μάλλον θα πάρει το δρόμο της για να βρεθεί στα χέρια ενός κυβερνο-εγκληματία,” προσθέτει η ομάδα στη δημοσίευσή της.
Σύμφωνα με την ομάδα, ενώ το να θέτουν μια νομική ή κυβερνητική αρχή ως mέσο εκφοβισμού του θύματος για να πληρώσουν δεν είναι νέα τακτική, η χρήση Extensible Messaging and Presence Protocol (XMPP), το the instant messaging protocol που χρησιμοποιείται από την Jabber και προηγουμένως από την GTalk, είναι μια αλλαγή των τακτικών τους με σκοπό να αποφύγουν τον εντοπισμό από anti-malware εργαλεία.
Η επικοινωνία μέσω XMPP καθιστά πιο δύσκολο στα εργαλεία ασφαλείας και στα anti-malware να πιάσουν το ransomware πριν να μπορέσει να επικοινωνήσει με το command and control network του, διότι κρύβει την επικοινωνία του σε μια μορφή που μοιάζει με την κανονική επικοινωνία άμεσων μηνυμάτων.
Τα περισσότερα από τα προηγούμενα πακέτα ransomware έχουν επικοινωνήσει με έναν website μέσω HTTPS για να αποκτήσουν τα κλειδιά κρυπτογράφησης, αυτές τα websites μπορούν γενικά να αναγνωριστούν από τ URLs, IP addresses, ή την υπογραφή των Web requests και στη συνέχεια να μπλοκαρισθούν.
