Kali ini, ada ransomware Android baru yang menginfeksi korbannya dengan mengirim pesan teks berisi tautan berbahaya ke seluruh daftar kontak yang ditemukan pada target yang sudah terinfeksi.
Malware ini dijuluki Android/Filecoder.C (FileCoder) oleh tim peneliti ESET yang menemukan itu. Menurut mereka, saat ini malware menargetkan perangkat yang menjalankan Android 5.1 atau versi diatasnya.
Vektor infeksi SMS Ransomware
FileCoder pertama kali dilihat oleh ESET selama operasi yang berlangsung mulai pada tanggal 12 Juli, dengan para penyerang mendistribusikan muatan berbahaya mereka melalui posting yang dibuat di Reddit dan di komunitas pengembangan perangkat lunak seluler XDA Developer.
Dalam forum Reddit dan XDA, postingan tersebut mempromosikan aplikasi berbahaya sebagai game online simulator seks gratis yang juga bisa menurunkan kewaspadaan target potensial untuk membuat mereka mengunduh dan menginstal aplikasi yang bermuatan ransomware pada perangkat mereka.
Sementara XDA menghapus posting berbahaya setelah diberitahu, thread di Reddit masih naik dan berjalan pada saat peneliti malware ESET, Lukas Stefanko menerbitkan analisis malware FileCoder.
Sampel ransomware juga ditautkan dengan bantuan kode QR yang akan membuatnya lebih cepat bagi pengguna ponsel untuk mendapatkan APK berbahaya di perangkat mereka dan menginstalnya.
Sebagai umpan untuk meyakinkan calon korban untuk menginstal aplikasi Android berbahaya di perangkat mereka, operator FileCoder akan mengatakan bahwa aplikasi tersebut katanya menggunakan foto calon korban.
“Untuk memaksimalkan jangkauannya, ransomware ini memiliki versi 42 bahasa dalam templat pesannya. Sebelum mengirim pesan, ia memilih versi yang sesuai dengan pengaturan bahasa perangkat korban. Untuk mempersonalisasi pesan ini, malware menambahkan nama kontak dalam pesannya,” kata ESET.
FileCoder meminta tebusan kepada korbannya dalam Bitcoin, dengan alamat Bitcoin dan server command-and-control (C2) di-hardcode dalam source code malware tetapi dengan opsi alamat baru yang dikirim melalui layanan Pastebin.
FileCoder akan menyebar sendiri ke daftar kontak korban melalui SMS sebelum mulai mengenkripsi semua file dalam folder di penyimpanan perangkat yang dapat diakses, menambahkan ekstensi .seven ke nama file asli sedangkan file sistem akan dilewati (tidak dienkripsi).
“Ransomware juga tidak mengenkripsi jika ekstensi file adalah .zip atau .rar dan ukuran file lebih dari 51.200 KB/50 MB, juga file .jpeg , .jpg dan .png dengan ukuran file kurang dari 150 KB,” menurut ESET.
Server C2 ransomware Android baru FileCoder masih aktif
Setelah semua file dikunci oleh malware, itu akan menampilkan catatan untuk tebusan, merinci jumlah file terenkripsi dan jumlah waktu yang harus dibayar korban untuk biaya kunci dekripsi – jumlah tebusan berkisar antara $94 dan $188.
Sementara catatan tebusan mengatakan bahwa data akan hilang jika tebusan tidak dibayarkan dalam waktu tiga hari, namun tidak ada dalam kode ransomware untuk mendukung klaim bahwa data yang terpengaruh akan hilang setelah 72 jam.
FileCoder mengenkripsi file menggunakan kunci AES baru untuk masing-masing file yang dikunci, menggunakan sepasang kunci publik dan pribadi, dengan yang terakhir dienkripsi dengan bantuan algoritma RSA.
Akan tetapi, karena pengembang ransomware telah melakukan hardcode pada value yang digunakan untuk mengenkripsi kunci pribadi dalam kode malware, korban dapat mendekripsi data mereka tanpa membayar tebusan.
Rincian lebih lanjut tentang cara kerja ransomware Android/Filecoder.C bersama dengan daftar IOC termasuk hash sampel malware, alamat Bitcoin yang digunakan dalam operasi, tersedia di analisis malware FileCoder.
