Android fidye yazılımında iki yıllık bir düşüşün ardından, yeni bir aile ortaya çıktı. ESET Mobile Security tarafından Android / Filecoder.C olarak algılanan fidye yazılımını çeşitli çevrimiçi forumlar aracılığıyla dağıtılmış olduğunu gördük. Mağdurların irtibat listelerini kullanarak, kötü niyetli bağlantıları SMS yoluyla yayılır. Dar hedefleme ve hem kampanyanın yürütülmesinde hem de şifrelemenin uygulanmasındaki kusur nedeniyle, bu yeni fidye yazılımının etkisi sınırlıdır. Bununla birlikte, geliştiriciler hataları giderirse ve operatörler daha geniş bir kullanıcı grubunu hedeflemeye başlarsa, Android / Filecoder.C Ransomware ciddi bir tehdit oluşturabilir.
Android / Filecoder.C 12 Temmuz’dan beri faaliyet gösteriyor, Android / Filecoder.C , Reddit ve “XDA Developers” (Android geliştiricilerine yönelik bir forum) forumda, dağıtılmıştır. Kötü amaçlı etkinliği XDA Geliştiricileri ve Reddit’e bildirdik. XDA Geliştiricileri forumdaki yazılar hızlı bir şekilde kaldırıldı; Kötü niyetli Reddit profili ise yazımız yayınlandığı sırada hala devam ediyordu.
Android / Filecoder.C, mağdurun kişi listesindeki tüm kişilere gönderilen kötü amaçlı bağlantıları olan SMS yoluyla yayılır.
Fidye yazılımı bu kötü amaçlı SMS grubunu gönderdikten sonra, cihazdaki birçok kullanıcı dosyasını şifreler ve bir fidye ister. Hatalı şifreleme nedeniyle, etkilenen dosyaların saldırganın yardımı olmadan şifresini çözmek mümkündür.
ESET Mobile Security kullanıcıları, kötü amaçlı bağlantı hakkında bir uyarı alır; uyarıyı görmezden gelip uygulamayı indirmeleri durumunda, güvenlik çözümü onu engeller.
Dağıtım
Bulduğumuz kampanyada, zararlı Android dosyaları içeren saldırganlar tarafından kontrol edilen iki alana (aşağıdaki IoC’ler bölümüne bakın) dayanmaktadır. Saldırganlar, Reddit (Şekil 1) veya XDA Geliştiricileri (Şekil 2) üzerine yazarak veya yorum yaparak potansiyel mağdurları bu alanlara çekmektedir.
Çoğunlukla, yazıların konuları porno ile ilgiliydi; alternatif olarak, yem olarak kullanılan teknik konuları da gördük. Tüm yorumlarda veya yayınlarda, saldırganlar kötü amaçlı uygulamalara işaret eden bağlantılar veya QR kodları içeriyordu.
Şekil 1. Kötü niyetli gönderiler ve yorumlar içeren saldırganın Reddit profili
Şekil 2. XDA Developers forumunda saldırganların kötü niyetli yayınlarından bazıları
Reddit’te paylaşılan bir bağlantıda, saldırganlar URL kısaltıcı bit.ly’yi kullandı. Bu bit.ly URL, 11 Haziran 2019 tarihinde oluşturuldu ve Şekil 3’te görüldüğü gibi, istatistikleri yazarken, farklı kaynaklardan ve ülkelerden 59 tıklamaya ulaştığını gösteriyor.
Şekil 3. Fidye yazılımı kampanyası sırasında Reddit’te paylaşılan bit.ly bağlantısı istatistikleri
Yayılma
Daha önce de belirtildiği gibi, Android / Filecoder.C Ransomware, SMS mesajları aracılığıyla kurbanın kişi listesindeki tüm kişilere gönderilir.
Bu mesajlar fidye yazılımına bağlantılar içerir; Potansiyel mağdurların ilgisini artırmak için, link, Şekil 4’te görüldüğü gibi potansiyel mağdur fotoğraflarını kullanan bir uygulamanın bağlantısı olarak sunulmaktadır.
Fidye yazılımı, erişimini en üst düzeye çıkarmak için, Şekil 5’te görülen mesaj şablonunun 42 dil versiyonuna sahiptir. Mesajları göndermeden önce, kurban cihazının dil ayarına uyan versiyonu seçer. Bu mesajları kişiselleştirmek için kötü amaçlı yazılım, gönderilen kişinin ismini kendine uyarlar.
Şekil 4. Fidye yazılımına bağlantı içeren bir SMS; gönderen cihazın dili İngilizce olarak ayarlanmışsa, bu dil değişkeni gönderilir.
Şekil 5. Fidye yazılımında kodlanmış toplam 42 dil sürümü
İşlevsellik
Potansiyel mağdurlar, kötü niyetli uygulamanın bağlantısını içeren bir SMS mesajı aldığında, el ile yüklemeleri gerekir. Uygulama kullanıma sunulduktan sonra, dağıtılan yayınlarda vaat edilenleri görüntüler sıklıkla bu bir seks simülatörü çevrimiçi oyunudur. Bununla birlikte, temel amaçları C&C iletişimi, kötü niyetli mesajları yaymak ve şifreleme / şifre çözme mekanizmasını uygulamaktır.
C&C iletişiminde, kötü amaçlı yazılım, kaynak kodunda kodlanmış C&C ve Bitcoin adresleri içerir. Ancak, bunları dinamik olarak da alabilir: ücretsiz Pastebin hizmetini kullanarak saldırgan tarafından her zaman değiştirilebilir.
Şekil 6. C&C adreslerini almak üzere fidye yazılımı için bir adres kümesi örneği
Fidye yazılımı, kullanıcının irtibat listesine erişebildiği için kısa mesaj gönderme özelliğine sahiptir. Dosyaları şifrelemeden önce, yukarıdaki “Yayma” bölümünde açıklanan tekniği kullanarak mağdurun temas noktalarına bir mesaj gönderir.
Daha sonra, fidye yazılımı erişilebilir depodaki dosyalardan geçer – sistem dosyalarının bulunduğu yerler hariç tüm cihazın depolanması anlamına gelir – ve bunların çoğunu şifreler (aşağıdaki “Dosya şifreleme mekanizması” bölümüne bakın). Dosyalar şifreli olduktan sonra, fidye yazılımı, fidye notunu Şekil 7’de görüldüğü gibi (İngilizce olarak) görüntüler.
Şekil 7. Android / Filecoder.C tarafından görüntülenen bir fidye notu
Mağdurun uygulamayı kaldırması durumunda, fidye yazılımının fidye notunda belirtildiği gibi dosyaların şifresini çözemeyeceği doğrudur. Ancak, hatalı şifreleme nedeniyle dosyalar yine de kurtarılabilir (aşağıdaki bölüme bakın). Ayrıca, analizimize göre, fidye yazılım kodunda, etkilenen verilerin 72 saat sonra kaybedileceği iddiasını destekleyen hiçbir şey yoktur.
Şekil 8’de görüldüğü gibi, istenen fidye kısmen dinamiktir. Talep edilecek bitcoin miktarının ne olacağının ilk kısmı kodlanmış – kod değeri 0.01 – geri kalan altı hane ise malware tarafından oluşturulan kullanıcı kimliğidir.
Bu benzersiz uygulama, gelen ödemelerin belirlenmesi amacına hizmet edebilir. (Android fidye yazılımında, bu genellikle şifrelenmiş her cihaz için ayrı bir Bitcoin cüzdanı üretilerek elde edilir.) Bitcoin başına yaklaşık 9,400 ABD Doları tutarındaki son döviz kuruna dayanarak, türetilen fidye 94-188 ABD Doları aralığında olacaktır. benzersiz kimlik rastgele oluşturulur).
Şekil 8. Kötü amaçlı yazılımın fidyeyi nasıl hesapladığı
Tipik Android fidye yazılımlarının aksine, Android / Filecoder.C, ekranı kilitleyerek cihazın kullanımını engellemez.
Şekil 9’da görüldüğü gibi, yazı yazarken, dinamik olarak değiştirilebilen ancak gördüğümüz her durumda aynı olan söz konusu Bitcoin adresi hiçbir işlem kaydetmemiştir.
Şekil 9. Saldırganlar tarafından kullanılan Bitcoin adresi
Dosya şifreleme mekanizması
Fidye yazılımı asimetrik ve simetrik şifreleme kullanır. İlk önce, genel ve özel bir anahtar çifti oluşturur. Bu özel anahtar, kodda depolanan sabit kodlanmış bir değere sahip RSA algoritması kullanılarak şifrelenir ve saldırganın sunucusuna gönderilir. Saldırgan bu özel anahtarın şifresini çözebilir ve kurban fidyeyi ödedikten sonra, bu özel anahtarı dosyaların şifresini çözmek için kurbana gönderebilir.
Dosyaları şifreleyince, fidye yazılımı şifrelenecek her dosya için yeni bir AES anahtarı oluşturur. Bu AES anahtarı daha sonra ortak anahtar kullanılarak şifrelenir ve şifreli her dosyaya hazırlanır ve aşağıdaki şekilde sonuçlanır: ((AES) public_key + (File) AES) .seven
Dosya yapısı Şekil 10’da görülmektedir.
Şekil 10. Şifrelenmiş dosya yapısına genel bakış
Fidye yazılımı, erişilebilir depolama dizinlerinden geçerek aşağıdaki dosya türlerini şifreler:
“.Doc”, “.docx”, “.xls”, “.xlsx”, “.ppt”, “.pptx”, “.pst”, “.ost”, “.msg”, “.eml”, “.Vsd”, “.vsdx”, “.txt”, “.csv”, “.rtf”, “.123”, “.wks”, “.wk1”, “.pdf”, “.dwg”, “.Onetoc2”, “.snt”, “.jpeg”, “.jpg”, “.docb”, “.docm”, “.dot”, “.dotm”, “.dotx”, “.xlsm”, “.Xlsb”, “.xlw”, “.xlt”, “.xlm”, “.xlc”, “.xltx”, “.xltm”, “.pptm”, “.pot”, “.pps”, “.Ppsm”, “.ppsx”, “.ppam”, “.potx”, “.potm”, “.edb”, “.hwp”, “.602”, “.sxi”, “.sti”, “.Sldx”, “.sldm”, “.sldm”, “.vdi”, “.vmdk”, “.vmx”, “.gpg”, “.aes”, “.ARC”, “.PAQ”, “.Bz2”, “.tbk”, “.bak”, “.tar”, “.tgz”, “.gz”, “.7z”, “.rar”, “.zip”, “.backup”, “.İso”, “.vcd”, “.bmp”, “.png”, “.gif”, “.raw”, “.cgm”, “.tif”, “.tiff”, “.nef”, “.psd”, “.Ai”, “.svg”, “.djvu”, “.m4u”, “.m3u”, “.mid”, “.wma”, “.flv”, “.3g2”, “.mkv”, “.3gp”, “.mp4”, “.mov”, “.avi”, “.asf”, “.mpeg”, “.vob”, “.mpg”, “.wmv”, “.fla”, “.Swf”, “.wav”, “.
Ancak, “.cache”, “tmp” veya “temp” dizelerini içeren dizinlerdeki dosyaları şifrelemez.
Fidye yazılımı ayrıca dosya uzantısı “.zip” veya “.rar” ise ve dosya boyutu 51.200 KB / 50 MB ve “.jpeg”, “.jpg” ve “.png” dosyaları üzerindeyse şifrelenmemiş dosyaları bırakır. dosya boyutu 150 KB’den küçük.
Dosya türlerinin listesi Android ile ilgisiz bazı girdiler içerir ve aynı zamanda .apk, .dex, .so gibi bazı tipik Android uzantılarına sahip değildir. Görünüşe göre, liste bilinen WannaCryptor aka WannaCry Ransomware’den kopyalandı.
Dosyalar şifrelendikten sonra, “.seven” dosya uzantısı, Şekil 11’de görüldüğü gibi orijinal dosya adına eklenir.
Şekil 11. “.seven” uzantılı şifreli dosyalar
Şifre çözme mekanizması
Şifrelenmiş dosyaların şifresini çözmek için kod fidye yazılımı bulunur. Eğer mağdur fidyeyi öderse, fidye yazılımı operatörü bunu Şekil 12’de gösterilen web sitesi aracılığıyla doğrulayabilir ve dosyaların şifresini çözmek için özel anahtarı gönderebilir.
Şekil 12. Fidye ödeme doğrulama web sayfası
Ancak, özel anahtarı şifrelemek için kullanılan sabit kod değeri nedeniyle, şifreleme algoritmasını bir şifre çözme algoritmasına dönüştürerek fidye ödemeden dosyaların şifresini çözmek mümkün olacaktır. Gerekli olan tek şey fidye yazılımı tarafından sağlanan Kullanıcı Kimliği (bkz. Şekil 13) ve yazarının sabit kodlanmış anahtar değerini değiştirmesi durumunda fidye yazılımının APK dosyasıdır. Şimdiye kadar, Android / Filecoder.C ransomware’in tüm örneklerinde aynı değeri gördük.
Şekil 13. Kullanıcı Kimliği fidye notunda bulunabilir.
Nasıl güvende kalırsınız?
- Her şeyden önce, cihazlarınızı güncel tutun, ideal olarak onları otomatik olarak yama yapacak ve güncelleyecek şekilde ayarlayın; böylece, en fazla güvenlik meraklısı kullanıcılar olmasanız bile korunmaya devam edersiniz.
- Mümkünse, Google Play veya diğer saygın uygulama mağazalarına bağlı kalın. Bu pazarlar kötü amaçlı uygulamalardan tamamen arınmış olmayabilir, ancak bunlardan kaçınmak için büyük bir şansınız var.
- Herhangi bir uygulamayı kurmadan önce derecelendirmelerini ve incelemelerini kontrol edin. Olumsuz olanlara odaklanın, çünkü bunlar genellikle meşru kullanıcılardan gelir, olumlu geribildirim genellikle saldırganlar tarafından hazırlanır.
- Uygulama tarafından istenen izinlere odaklanın. Uygulamanın işlevleri için yetersiz görünüyorsa, uygulamayı indirmekten kaçının.
- Cihazınızı korumak için saygın bir mobil güvenlik çözümü kullanın.
Uzlaşma Göstergeleri (IoC’ler)
| Hash | ESET algılama adı |
|---|---|
| B502874681A709E48F3D1DDFA6AE398499F4BD23 | Android / Filecoder.C |
| D5EF600AA1C01FA200ED46140C8308637F09DFCD | Android / Filecoder.C |
| B502874681A709E48F3D1DDFA6AE398499F4BD23 | Android / Filecoder.C |
| F31C67CCC0D1867DB1FBC43762FCF83746A408C2 | Android / Filecoder.C |
| Bitcoin Adresi |
|---|
| 16KQjht4ePZxxGPr3es24VQyMYgR9UEkFy |
| Sunucular |
|---|
| http: // rich7 xyz [.] |
| http: [.] // wevx xyz |
| https: [.] // pastebin com / ham / LQwGQ0RQ |
| İletişim e-posta adresi |
|---|
| h3athledger @ yandex [.] ru |
| Etkilenen Android sürümleri |
|---|
| Android 5.1 ve üzeri |
Welivesecurity
