A pozsonyi székhelyű ESET kiberbiztonsági cég szakemberei hívták fel a figyelmet egy új androidos kártevőre. Az Android/Filecoder.C-nek elnevezett malware legalább július 12. óta aktív, és rosszindulatú posztokon keresztül terjed az online fórumokon, a redditen és az XDA Developeren, az Android-fejlesztők fórumán. Ezek a pornográf tartalmú posztok bit.ly hivatkozás mögé rejtve kínálják a fertőző tartalmat. (Az XDA Developerről már eltávolították a szóban forgó posztokat, a redditen még voltak ilyenek cikkünk írásakor.)

Amennyiben a Filecoder feljutott egy androidos telefonra, azonnal átfésüli a névjegyzéket, és valamennyi ott található kontaktnak küld egy SMS-t (42 nyelven tudja ezt megtenni, ahhoz a nyelvhez igazodva, amit a telefon használ). A szöveges üzenetben csaliként egy olyan link is szerepel, amely állítólag az áldozat fényképét is tartalmazó alkalmazáshoz vezet.

Welivesecurity

Ha a felhasználó rákattint erre, akkor manuálisan telepíthet egy appot, például egy szexszimulátor játékot, azonban a háttérben már el is kezd tevékenykedni egy zsarolóvírus. Ez a kártevő átvizsgálja a fertőzött eszközt, tárolt fájlok után kutatva, és ezek többségét titkosítja. Ezek közé tartoznak a szöveges fájlok és a képek is, azonban az 50 MB-nál nagyobb tömörített állományokat, a 150 KB-nál kisebb .jpeg, .jpg, .png képfájlokat, valamint az Android-specifikus fájlokat (.apk, .dex) békén hagyja. A titkosított fájlok neve után még egy további „seven” fájlkiterjesztés is megjelenik.

Welivesecurity

A titkosítás után megjelenik a váltságdíjat kérő ablak (angol szöveggel), a pénzt Bitcoinban kérik, 98 és 188 dollárnak megfelelő összegről van szó. Más típusú ransomware-ektől eltérően a Bitcoinban kért váltságdíj részben dinamikus: az első három számjegy fix (0,01), majd a maradék hat jegy a malware által generált felhasználói azonosító. A zsarolóvírus állítólag 72 órát ad a váltságdíj kifizetésére, de az ESET nem talált bizonyítékot a szoftverkódban arra, hogy a három nap leteltével végleg elvesznének az adatok.

Welivesecurity

Szerencsére a malware nem zárolja a készüléket, azaz a telefon tovább is használható. Korábban úgy gondolták az ESET szakemberei, hogy a titkosítási algoritmus hibája miatt valójában váltságdíj nélkül is visszanyerhetők a fájlok, azonban időközben kiderült, hogy ez sajnos nem így van.

Mi továbbra is csak azt tudjuk javasolni, hogy ragaszkodjanak a Google Playhez (leginkább – még ha nem is teljesen – mégis csak így védhető ki, hogy fertőzött app kerüljön a telefonra), tartsák a lehető legfrissebb állapotban készülékük szoftverét, ügyeljenek az alkalmazások által kért engedélyekre, és persze használjanak megbízható mobilbiztonsági megoldást eszközük védelmére.

Ha máskor is időben értesülni szeretne az új vírusokról, lájkolja a HVG Tech rovatának Facebook-oldalát.