Android Fidye Yazılımı Geri Döndü

Android fidye yazılımında iki yıllık bir düşüşün ardından, yeni bir aile ortaya çıktı. ESET Mobile Security tarafından Android / Filecoder.C olarak algılanan fidye yazılımını çeşitli çevrimiçi forumlar aracılığıyla dağıtılmış olduğunu gördük. Mağdurların irtibat listelerini kullanarak, kötü niyetli bağlantıları  SMS yoluyla yayılır. Dar hedefleme ve hem kampanyanın yürütülmesinde hem de şifrelemenin uygulanmasındaki kusur nedeniyle, bu yeni fidye yazılımının etkisi sınırlıdır. Bununla birlikte, geliştiriciler hataları giderirse ve operatörler daha geniş bir kullanıcı grubunu hedeflemeye başlarsa, Android / Filecoder.C Ransomware ciddi bir tehdit oluşturabilir.

Android / Filecoder.C  12 Temmuz’dan  beri faaliyet gösteriyor, Android / Filecoder.C , Reddit ve “XDA Developers”  (Android geliştiricilerine yönelik bir forum) forumda,   dağıtılmıştır. Kötü amaçlı etkinliği XDA Geliştiricileri ve Reddit’e bildirdik. XDA Geliştiricileri forumdaki yazılar hızlı bir şekilde kaldırıldı; Kötü niyetli Reddit profili ise yazımız yayınlandığı sırada hala devam ediyordu.

Android / Filecoder.C, mağdurun kişi listesindeki tüm kişilere gönderilen kötü amaçlı bağlantıları olan SMS yoluyla  yayılır.

Fidye yazılımı bu kötü amaçlı SMS grubunu gönderdikten sonra, cihazdaki birçok kullanıcı dosyasını şifreler ve bir fidye ister. Hatalı şifreleme nedeniyle, etkilenen dosyaların saldırganın yardımı olmadan şifresini çözmek mümkündür.

ESET Mobile Security kullanıcıları, kötü amaçlı bağlantı hakkında bir uyarı alır; uyarıyı görmezden gelip uygulamayı indirmeleri durumunda, güvenlik çözümü onu engeller.

Dağıtım

Bulduğumuz kampanyada, zararlı Android dosyaları içeren saldırganlar tarafından kontrol edilen iki alana (aşağıdaki IoC’ler bölümüne bakın) dayanmaktadır. Saldırganlar, Reddit (Şekil 1) veya XDA Geliştiricileri (Şekil 2) üzerine yazarak veya yorum yaparak potansiyel mağdurları bu alanlara çekmektedir.

Çoğunlukla, yazıların konuları porno ile ilgiliydi; alternatif olarak, yem olarak kullanılan teknik konuları da gördük. Tüm yorumlarda veya yayınlarda, saldırganlar kötü amaçlı uygulamalara işaret eden bağlantılar veya QR kodları içeriyordu.

Şekil 1. Kötü niyetli gönderiler ve yorumlar içeren saldırganın Reddit profili

Şekil 2. XDA Developers forumunda saldırganların kötü niyetli yayınlarından bazıları

Reddit’te paylaşılan bir bağlantıda, saldırganlar URL kısaltıcı bit.ly’yi kullandı. Bu bit.ly URL, 11 Haziran 2019 tarihinde oluşturuldu ve Şekil 3’te görüldüğü gibi, istatistikleri yazarken, farklı kaynaklardan ve ülkelerden 59 tıklamaya ulaştığını gösteriyor.

Şekil 3. Fidye yazılımı kampanyası sırasında Reddit’te paylaşılan bit.ly bağlantısı istatistikleri

Yayılma

Daha önce de belirtildiği gibi, Android / Filecoder.C Ransomware, SMS mesajları aracılığıyla kurbanın kişi listesindeki tüm kişilere gönderilir.

Bu mesajlar fidye yazılımına bağlantılar içerir; Potansiyel mağdurların ilgisini artırmak için, link, Şekil 4’te görüldüğü gibi potansiyel mağdur fotoğraflarını kullanan bir uygulamanın bağlantısı olarak sunulmaktadır.

Fidye yazılımı, erişimini en üst düzeye çıkarmak için, Şekil 5’te görülen mesaj şablonunun 42 dil versiyonuna sahiptir. Mesajları göndermeden önce, kurban cihazının dil ayarına uyan versiyonu seçer. Bu mesajları kişiselleştirmek için kötü amaçlı yazılım, gönderilen kişinin ismini kendine uyarlar.

Şekil 4. Fidye yazılımına bağlantı içeren bir SMS; gönderen cihazın dili İngilizce olarak ayarlanmışsa, bu dil değişkeni gönderilir.

Şekil 5. Fidye yazılımında kodlanmış toplam 42 dil sürümü

İşlevsellik

Potansiyel mağdurlar, kötü niyetli uygulamanın bağlantısını içeren bir SMS mesajı aldığında, el ile yüklemeleri gerekir. Uygulama kullanıma sunulduktan sonra, dağıtılan yayınlarda vaat edilenleri görüntüler sıklıkla bu bir seks simülatörü çevrimiçi oyunudur. Bununla birlikte, temel amaçları C&C iletişimi, kötü niyetli mesajları yaymak ve şifreleme / şifre çözme mekanizmasını uygulamaktır.

C&C iletişiminde, kötü amaçlı yazılım, kaynak kodunda kodlanmış C&C ve Bitcoin adresleri içerir. Ancak, bunları dinamik olarak da alabilir: ücretsiz Pastebin hizmetini kullanarak saldırgan tarafından her zaman değiştirilebilir.

Şekil 6. C&C adreslerini almak üzere fidye yazılımı için bir adres kümesi örneği

Fidye yazılımı, kullanıcının irtibat listesine erişebildiği için kısa mesaj gönderme özelliğine sahiptir. Dosyaları şifrelemeden önce, yukarıdaki “Yayma” bölümünde açıklanan tekniği kullanarak mağdurun temas noktalarına bir mesaj gönderir.

Daha sonra, fidye yazılımı erişilebilir depodaki dosyalardan geçer – sistem dosyalarının bulunduğu yerler hariç tüm cihazın depolanması anlamına gelir – ve bunların çoğunu şifreler (aşağıdaki “Dosya şifreleme mekanizması” bölümüne bakın). Dosyalar şifreli olduktan sonra, fidye yazılımı, fidye notunu Şekil 7’de görüldüğü gibi (İngilizce olarak) görüntüler.

Şekil 7. Android / Filecoder.C tarafından görüntülenen bir fidye notu

Mağdurun uygulamayı kaldırması durumunda, fidye yazılımının fidye notunda belirtildiği gibi dosyaların şifresini çözemeyeceği doğrudur. Ancak, hatalı şifreleme nedeniyle dosyalar yine de kurtarılabilir (aşağıdaki bölüme bakın). Ayrıca, analizimize göre, fidye yazılım kodunda, etkilenen verilerin 72 saat sonra kaybedileceği iddiasını destekleyen hiçbir şey yoktur.

Şekil 8’de görüldüğü gibi, istenen fidye kısmen dinamiktir. Talep edilecek bitcoin miktarının ne olacağının ilk kısmı kodlanmış – kod değeri 0.01 – geri kalan altı hane ise malware tarafından oluşturulan kullanıcı kimliğidir.

Bu benzersiz uygulama, gelen ödemelerin belirlenmesi amacına hizmet edebilir. (Android fidye yazılımında, bu genellikle şifrelenmiş her cihaz için ayrı bir Bitcoin cüzdanı üretilerek elde edilir.) Bitcoin başına yaklaşık 9,400 ABD Doları tutarındaki son döviz kuruna dayanarak, türetilen fidye 94-188 ABD Doları aralığında olacaktır. benzersiz kimlik rastgele oluşturulur).

Şekil 8. Kötü amaçlı yazılımın fidyeyi nasıl hesapladığı

Tipik Android fidye yazılımlarının aksine, Android / Filecoder.C, ekranı kilitleyerek cihazın kullanımını engellemez.

Şekil 9’da görüldüğü gibi, yazı yazarken, dinamik olarak değiştirilebilen ancak gördüğümüz her durumda aynı olan söz konusu Bitcoin adresi hiçbir işlem kaydetmemiştir.

Şekil 9. Saldırganlar tarafından kullanılan Bitcoin adresi

Dosya şifreleme mekanizması

Fidye yazılımı asimetrik ve simetrik şifreleme kullanır. İlk önce, genel ve özel bir anahtar çifti oluşturur. Bu özel anahtar, kodda depolanan sabit kodlanmış bir değere sahip RSA algoritması kullanılarak şifrelenir ve saldırganın sunucusuna gönderilir. Saldırgan bu özel anahtarın şifresini çözebilir ve kurban fidyeyi ödedikten sonra, bu özel anahtarı dosyaların şifresini çözmek için kurbana gönderebilir.

Dosyaları şifreleyince, fidye yazılımı şifrelenecek her dosya için yeni bir AES anahtarı oluşturur. Bu AES anahtarı daha sonra ortak anahtar kullanılarak şifrelenir ve şifreli her dosyaya hazırlanır ve aşağıdaki şekilde sonuçlanır: ((AES) public_key + (File) AES) .seven

Dosya yapısı Şekil 10’da görülmektedir.

Şekil 10. Şifrelenmiş dosya yapısına genel bakış

Fidye yazılımı, erişilebilir depolama dizinlerinden geçerek aşağıdaki dosya türlerini şifreler:

“.Doc”, “.docx”, “.xls”, “.xlsx”, “.ppt”, “.pptx”, “.pst”, “.ost”, “.msg”, “.eml”, “.Vsd”, “.vsdx”, “.txt”, “.csv”, “.rtf”, “.123”, “.wks”, “.wk1”, “.pdf”, “.dwg”, “.Onetoc2”, “.snt”, “.jpeg”, “.jpg”, “.docb”, “.docm”, “.dot”, “.dotm”, “.dotx”, “.xlsm”, “.Xlsb”, “.xlw”, “.xlt”, “.xlm”, “.xlc”, “.xltx”, “.xltm”, “.pptm”, “.pot”, “.pps”, “.Ppsm”, “.ppsx”, “.ppam”, “.potx”, “.potm”, “.edb”, “.hwp”, “.602”, “.sxi”, “.sti”, “.Sldx”, “.sldm”, “.sldm”, “.vdi”, “.vmdk”, “.vmx”, “.gpg”, “.aes”, “.ARC”, “.PAQ”, “.Bz2”, “.tbk”, “.bak”, “.tar”, “.tgz”, “.gz”, “.7z”, “.rar”, “.zip”, “.backup”, “.İso”, “.vcd”, “.bmp”, “.png”, “.gif”, “.raw”, “.cgm”, “.tif”, “.tiff”, “.nef”, “.psd”, “.Ai”, “.svg”, “.djvu”, “.m4u”, “.m3u”, “.mid”, “.wma”, “.flv”, “.3g2”, “.mkv”, “.3gp”, “.mp4”, “.mov”, “.avi”, “.asf”, “.mpeg”, “.vob”, “.mpg”, “.wmv”, “.fla”, “.Swf”, “.wav”, “.

Ancak, “.cache”, “tmp” veya “temp” dizelerini içeren dizinlerdeki dosyaları şifrelemez.

Fidye yazılımı ayrıca dosya uzantısı “.zip” veya “.rar” ise ve dosya boyutu 51.200 KB / 50 MB ve “.jpeg”, “.jpg” ve “.png” dosyaları üzerindeyse şifrelenmemiş dosyaları bırakır. dosya boyutu 150 KB’den küçük.

Dosya türlerinin listesi Android ile ilgisiz bazı girdiler içerir ve aynı zamanda .apk, .dex, .so gibi bazı tipik Android uzantılarına sahip değildir. Görünüşe göre, liste bilinen WannaCryptor aka WannaCry Ransomware’den kopyalandı.

Dosyalar şifrelendikten sonra, “.seven” dosya uzantısı, Şekil 11’de görüldüğü gibi orijinal dosya adına eklenir.

Şekil 11. “.seven” uzantılı şifreli dosyalar

Şifre çözme mekanizması

Şifrelenmiş dosyaların şifresini çözmek için kod fidye yazılımı bulunur. Eğer mağdur fidyeyi öderse, fidye yazılımı operatörü bunu Şekil 12’de gösterilen web sitesi aracılığıyla doğrulayabilir ve dosyaların şifresini çözmek için özel anahtarı gönderebilir.

Şekil 12. Fidye ödeme doğrulama web sayfası

Ancak, özel anahtarı şifrelemek için kullanılan sabit kod değeri nedeniyle, şifreleme algoritmasını bir şifre çözme algoritmasına dönüştürerek fidye ödemeden dosyaların şifresini çözmek mümkün olacaktır. Gerekli olan tek şey fidye yazılımı tarafından sağlanan Kullanıcı Kimliği (bkz. Şekil 13) ve yazarının sabit kodlanmış anahtar değerini değiştirmesi durumunda fidye yazılımının APK dosyasıdır. Şimdiye kadar, Android / Filecoder.C ransomware’in tüm örneklerinde aynı değeri gördük.

Şekil 13. Kullanıcı Kimliği fidye notunda bulunabilir.

Nasıl güvende kalırsınız?

  • Her şeyden önce, cihazlarınızı güncel tutun, ideal olarak onları otomatik olarak yama yapacak ve güncelleyecek şekilde ayarlayın; böylece, en fazla güvenlik meraklısı kullanıcılar olmasanız bile korunmaya devam edersiniz.
  • Mümkünse, Google Play veya diğer saygın uygulama mağazalarına bağlı kalın. Bu pazarlar kötü amaçlı uygulamalardan tamamen arınmış olmayabilir, ancak bunlardan kaçınmak için büyük bir şansınız var.
  • Herhangi bir uygulamayı kurmadan önce derecelendirmelerini ve incelemelerini kontrol edin. Olumsuz olanlara odaklanın, çünkü bunlar genellikle meşru kullanıcılardan gelir, olumlu geribildirim genellikle saldırganlar tarafından hazırlanır.
  • Uygulama tarafından istenen izinlere odaklanın. Uygulamanın işlevleri için yetersiz görünüyorsa, uygulamayı indirmekten kaçının.
  • Cihazınızı korumak için saygın bir mobil güvenlik çözümü kullanın.

Uzlaşma Göstergeleri (IoC’ler)

Hash ESET algılama adı
B502874681A709E48F3D1DDFA6AE398499F4BD23 Android / Filecoder.C
D5EF600AA1C01FA200ED46140C8308637F09DFCD Android / Filecoder.C
B502874681A709E48F3D1DDFA6AE398499F4BD23 Android / Filecoder.C
F31C67CCC0D1867DB1FBC43762FCF83746A408C2 Android / Filecoder.C
Bitcoin Adresi
16KQjht4ePZxxGPr3es24VQyMYgR9UEkFy
Sunucular
http: // rich7 xyz [.]
http: [.] // wevx xyz
https: [.] // pastebin com / ham / LQwGQ0RQ
İletişim e-posta adresi
h3athledger @ yandex [.] ru
Etkilenen Android sürümleri
Android 5.1 ve üzeri

Welivesecurity

About The Author

Reply