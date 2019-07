I ricercatori di ESET hanno annunciato la scoperta di una nuova famiglia di ransomware che utilizza gli elenchi di contatti delle vittime per diffondersi ulteriormente tramite SMS contenenti link dannosi. Il nuovo ransomware, battezzato Android / Filecoder.C, sarebbe stato distribuito su siti per adulti e per un breve periodo anche sul forum XDA.

Il ricercatore che ha condotto l'indagine, Lukas Stefanko, ha affermato che "la campagna che abbiamo scoperto è piccola e piuttosto amatoriale. Inoltre, il ransomware stesso è difettoso, soprattutto in termini di crittografia, che è implementata in maniera errata. Tutti i file crittografati possono essere recuperati senza l'aiuto degli aggressori. Tuttavia, se gli sviluppatori dovessero risolvere i difetti facendo diventare la distribuzione più avanzata, questo nuovo ransomware potrebbe diventare una seria minaccia".

Android / Filecoder.C ha attirato l'attenzione dei ricercatori ESET grazie al suo meccanismo di diffusione. Prima di iniziare a crittografare i file, il ransomware invia un batch di messaggi di testo a tutti gli indirizzi nella rubrica, con un indirizzo che provoca il download dello stesso.

Le anomalie indicate nel rapporto sono tante. A quanto pare infatti Android / Filecoder.C escluderebbe i file di grandi dimensioni (superiori ai 50MB) e le piccole immagini (inferiori a 150KB). L'elenco di "filetypes da crittografare" conterrebbe anche molte voci non correlate ad Android,.

A differenza del tipico ransomware per Android, questo non impedisce agli utenti di accedere ai propri dispositivi bloccando completamente lo schermo. Inoltre, il riscatto non è preimpostato e la quantità di denaro chiesto dagli aggressori viene generata dinamicamente usando l'UsdId assegnato dal ransomware alla vittima. Questo processo comporta un riscatto unico per ogni utente, compreso tra 0,01 e 0,02 BTC.

I ricercatori consigliano di mantenere aggiornati i dispositivi e di scaricare le applicazioni solo dal Google Play Store o altri Store affidabili.

La notizia arriva dopo che l'Europol ha formalmente dichiarato guerra ai ransomware, dopo quanto avvenuto in città come Baltimora.