محققان امنیتی ادعا می‌کنند که خانواده‌ی جدیدی از باج‌افزارهای اندرویدی با استفاده از پیامک بین کاربران توزیع می‌شوند. متخصصان امنیت سایبری ESET در جدیدترین گزارش خود، نتایج بررسی یک بدافزار اندرویدی به‌نام Android/Filecoder.C را منتشر کردند. انتشار اخبار جدید به نوعی یک نشانه برای پایان دو سال روند نزولی تشخیص بدافزارهای اندرویدی محسوب می‌شود.

بدافزار فایل‌کدر حداقل از ۱۲ ژوئیه ۲۰۱۹ فعال بوده است و از طریق پست‌های آلوده در انجمن‌های آنلاین توزیع می‌شود. از میان انجمن‌ها می‌توان به ردیت و فروم مشهور توسعه‌یاندروید یعنی XDA Developers اشاره کرد. حجم عمده‌ای از پست‌های آلوده که کاربران را به دریافت بدافزار مذکور دعوت می‌کنند، موضوعاتی با محوریت هرزنگاری دارند. به‌علاوه، تحقیقات ESET می‌گوید که در اکثر آن‌ها از ابزار bit.ly برای تغییر آدرس بدافزار استفاده می‌شود.

به‌ محض اینکه فایل‌کدر در دستگاه اندرویدی قربانی نصب شود، به فهرست مخاطبان او دسترسی پیدا می‌کند. سپس پیام‌های متنی به‌صورت پیامک به کل فهرست ارسال می‌شود. لینک مخرب به‌صورت تبلیغی برای یک اپلیکیشن کاربردی ارسال می‌شود درحالی‌که به اپلیکیشنی مرتبط با بدافزار فایل‌کدر متصل خواهد بود. شایان ذکر است پیامک مخرب بسته به زبان دستگاه قربانی ارسال می‌شود و توانایی ارسال پیام به ۴۲ زبان را دارد. به‌علاوه نام مخاطب نیز در متن پیام درج می‌شود.

اگر قربانی روی لینک موجود در پیامک کلیک کند، بدافزار به‌صورت دستی نصب شده که عموما باز هم از محتوای هرزنگاری برای تبلیغ آن استفاده می‌شود. به‌ هر حال هدف نهایی از اپلیکیشن مخرب مذکور، اجرای آن در پس‌زمینه خواهد بود. اپلیکیشن شامل تنظیمات command-and-control یا C2 است که آدرس کیف‌های پول بیت کویننیز درون آن قرار دارد. به‌علاوه ابزاری به‌نام Patebin در داخل کدهای بدافزار دیده می‌شود که برای اجرای فرایند Dynamic Retrieval کاربرد دارد.

فایل‌کدر پس از آنکه پیام‌های تبلیغاتی را برای فهرست مخاطبان ارسال کرد، به‌دنبال حافظه‌ی دستگاه می‌گردد و بخش اعظم آن را رمزنگاری می‌کند. از میان فایل‌هایی که توسط بدافزار رمزنگاری می‌شوند می‌توان به فایل‌های متنی و تصویر اشاره کرد. باج‌افزار مذکور توانایی دستکاری در فایل‌های اختصاصی اندروید همچون apk و dex را ندارد. محققان ESET اعتقاد دارند فرایند رمزنگاری به‌نوعی یک روند کپی و الصاق از WannaCry است. جهت یادآوری باید بدانید که واناکرای یکی بدافزارهای بسیار حرفه‌ای و مخرب است.

پس از رمزنگاری فایل‌های قربانی، پیامی مبنی بر درخواست وجه به او نمایش داده می‌شود. پیامی که باج به ارزش ۹۸ تا ۱۸۸ دلار را در فرم رمزارز درخواست می‌کند. در حال‌ حاضر هیچ گزارشی از پاک شدن فایل‌ها پس از دوره‌ی تهدیدی وجود ندارد. به‌علاوه باج‌افزار فعالیتی به‌صورت قفل کردن دستگاه یا متوقف کردن فعالیت آن انجام نمی‌دهد. البته اگر کاربر اپلیکیشن را حذف کند، فایل‌ها رمزگشایی نمی‌شوند. البته عدم رمزگشایی آن‌ها ربطی به تهدید مجرمان سایبری ندارد و دلیل اصلی آن، رمزنگاری ناقص است. به‌هرحال باز هم کاربر می‌تواند بدون پرداخت هزینه‌ی زیاد، فایل‌های خود را بازیابی کند.

فایل‌کدر در زمان رمزنگاری فایل‌های کاربر، یک کلید عمومی و یک کلید خصوصی ایجاد می‌کند. کلید خصوصی با استفاده از الگوریتم RSA رمزنگاری شده و برای مجرم سایبری (یا همان اپراتور C2) ارسال می‌شود. درنتیجه اگر قربانی هزینه‌ی درخواستی را پرداخت کند، هکر قابلیت رمزگشایی فایل‌ها را خواهد داشت.

متخصصان امنیت سایبری می‌گویند بدون پرداخت هزینه هم می‌توان فرایند رمزگشایی را با استفاده از کلید خصوصی انجام داد. آن‌ها ادعا می‌کنند که می‌توان فرایند رمزنگاری را به رمزگشایی تبدیل کرد. برای انجام چنین فرایندی، تنها به UserID نیاز خواهد بود که آن هم از سوی مجرم سایبری در پیام درخواست وجه ارائه می‌شود. به بیان دیگر متخصصان ESET علاوه بر تشخیص بدافزار جدید، راهکار عملی را هم برای آن ارائه کرده‌اند.

متخصصان ESET در متنی که مرتبط با بدافزار بالا منتشر کردند، درباره‌ی اثرگذاری آن نوشتند:

با توجه به هدف‌گیری محدود و ایراد در اجرا و همچنین پیاده‌سازی رمزنگاری، اثر این باج‌افزار محدود است. به‌هرحال اگر توسعه‌دهنده‌های آن ایرادات را برطرف کنند و جامعه‌ی هدف هم گسترده‌تر شود، احتمالا باج‌افزار Android/Filecoder.C به تهدیدی بزرگ‌تر بدل خواهد شد.

با توجه به توضیحاتی که پیرامون روش اجرا و توزیع بدافزار اندرویدی مطرح شد، باز هم اهمیت آگاهی کاربر برای جلوگیری از آلودگی مشخص می‌شود. اگر قربانیان پیامک‌های مخرب یا کاربران انجمن‌های آنلاین، در باز کردن لینک‌های تبلیغاتی و همچنین نرم‌افزارهای متفرقه احتیاط لازم را داشته باشند، قطعا اجرای فرایند باج‌گیری سایبری حتی شروع هم نخواهد شد.