Nel corso dell’ultima settimana abbiamo assistito alla diffusione di un ransomware che prende di mira i dispositivi Android su cui sono installate le versioni 5.1 o successive del sistema operativo di Google.

Una volta contratto, il malware utilizza la lista dei contatti presenti sullo smartphone compromesso per inviare sms contenenti link malevoli e crittografando i dispositivi.

FileCoder, così stato battezzato il ransomware in questione, è stato individuato da Eset, società che si occupa di cybersecurity, e ha cominciato a diffondersi sul web sfruttando contenuti per adulti pubblicati sulla celebre piattaforma Reddit e tramite il forum della community di sviluppatori Android Xda.

Come avviene l’infezione?

Il ransomware FileCoder infetta i dispositivi mediate campagne di malspam o phishing: cliccando sul link contenuto nell’SMS la vittima scarica il file malevolo e installa l’applicazione a fondo erotico indicata nel messaggio.

All’avvio l’app richiederà le seguenti autorizzazioni:

  • android.permission.SET_WALLPAPER
  • android.permission.WRITE_EXTERNAL_STORAGE
  • android.permission.READ_EXTERNAL_STORAGE
  • android.permission.READ_CONTACTS
  • android.permission.RECEIVE_BOOT_COMPLETED
  • android.permission.SEND_SMS
  • android.permission.INTERNET

Una volta ricevute tali permessi FileCoder comincia ad inviare messaggi dannosi a tutti i contatti presenti sul dispositivo e implementa il meccanismo di crittografia dei file.

Una volta criptati tutti i file contenuti nello smartphone (riconoscibili grazie all’estensione .seven che viene aggiunta in fase di criptatura), il ransomware mostra alla vittima un messaggio di riscatto, nel quale si richiede un pagamento in Bitcoin entro 72 ore. Se ciò non avverrà tutti i file criptati verranno irrimediabilmente cancellati.

Il riscatto richiesto per decriptare i file non è preimpostato e viene generato dinamicamente con una richiesta diversa per ogni utente, che può variare tra 0,01 e 0,02 Bitcoin (ossia tra € 85 e € 175).

Schermata di notifica di infezione da ransomware che mostra il riscatto da pagare (fonte: Eset) 

Come difendersi dal malware FileCoder? 

Per non cadere vittima del nuovo ransomware è sufficiente attuare alcuni piccoli accorgimenti:

  • non scaricare applicazioni e file da sorgenti diverse da Google Play e non verificate;
  • mai cliccare sui link presenti in SMS provenienti da mittenti sconosciuti o sospetti;
  • nel caso di link inviati da contatti noti è comunque consigliabile un controllo prima di aprire la pagina web;
  • mantenere il sistema operativo del proprio dispositivo sempre aggiornato;
  • installare un antivirus o altre soluzioni di sicurezza per mobile.

Le anomalie

Nel funzionamento di FileCoder sono state individuati alcuni comportamenti anomali per questa tipologia di ramsonware:

  • non vengono crittografati i file superiori a 50 MB, le immagini inferiori a 150KB e i file compressi con estensione .rar o .zip e i file con alcune estensioni tipiche di Android;
  • una volta attivato FileCoder non impedisce agli utenti di accedere al dispositivo bloccando lo schermo.

Sei caduto vittima del ransomware Android? Il team di IPSNet è in grado di offrirti assistenza in situazioni critiche di questo tipo.

Contattaci per saperne di più. 

Giorgio Bagnasco

Giorgio Bagnasco

Managed Services Specialist

Dottore in Matematica Informatica, originariamente sviluppatore di applicazioni Web, amministratore di database e project manager in una vasta gamma di applicazioni aziendali. Oggi specializzato in IT Management e System Integration, problem solving, progettazione e gestione di reti informatiche, ottimizzazione di sistemi informativi aziendali

Dal 1995 siamo al fianco di professionisti e imprese.
Negli anni IPSNet è diventato un marchio sinonimo di competenza e professionalità per assistere il cliente e orientarlo nel mondo della rete, sempre più difficile e ricco di opportunità, ma anche di insidie. Cloud Provider, soluzioni per le reti informatiche e la sicurezza dei dati nelle aziende sono, ad oggi, il nostro quotidiano impegno per centinaia di clienti che, da oltre 20 anni, ci affidano la propria informatizzazione digitale.

Hai bisogno di maggiori informazioni?
Chiamaci al 011.58.07.622

Richiedi una consulenza gratuita

Supporto clienti IPSNet
Inserisci il codice fornito dall'addetto
Codice non valido
Aprire il file scaricato e seguire le istruzioni del nostro tecnico
Servizio di supporto per clienti IPSNet
Inserisci il codice fornito dall'addetto
Codice non valido
Aprire il file scaricato e seguire le istruzioni del nostro tecnico