L’attacco accusa le vittime di possesso di pornografia, crittografa tutti i file sul dispositivo e quindi li istruisce a pagare una multa per sbloccare i dati, secondo Check Point Research.

Gli attacchi ransomware generalmente seguono lo stesso playbook. L’attaccante crittografa o blocca i file sensibili sul tuo computer o dispositivo e richiede un riscatto per sbloccarli. Nella maggior parte dei casi, i criminali dietro l’attacco non tentano di mascherare la loro identità, fiduciosi nella loro capacità di convincere abbastanza persone a pagare il riscatto. Ma una nuova campagna di malware analizzata dal fornitore di servizi di intelligence sulle minacce informatiche Check Point Research falsifica l’FBI per dare aria legittima alla richiesta di riscatto.

In un post sul blog pubblicato martedì, Check Point ha rivelato i dettagli di una botnet Malware-as-a-Service (MaaS) nota come Black Rose Lucy. Originariamente visto da Check Point a settembre 2018, Lucy funge da contagocce per diffondere malware e assumere il controllo dei dispositivi Android.

Dopo un’infezione riuscita su un dispositivo Android, Lucy crittografa i file e quindi visualizza una nota di riscatto in una finestra del browser. Questa nota afferma di essere un messaggio ufficiale dell’FBI che accusa la vittima di dover e archiviare pornografia.

Oltre a crittografare i dati e bloccare il dispositivo, l’aggressore avverte che i dettagli di questo reato sono stati inviati al centro dati del Dipartimento di criminalità informatica dell’FBI. Per riprendere il controllo del dispositivo, alla vittima viene quindi chiesto di pagare una multa di $ 500 utilizzando una carta di credito.

Immagine: Check Point Research

Nella sua analisi, Check Point ha trovato più di 80 campioni di questo attacco distribuiti principalmente attraverso i social media e le app di messaggistica. Travestiti da normali app per lettori video, questi esempi sono in grado di controllare i dispositivi infetti sfruttando il Servizio di accessibilità Android, progettato per aiutare le persone con disabilità automatizzando alcune interazioni dell’utente. Per lanciare l’attacco, Lucy chiede agli utenti di abilitare Streaming Video Optimization (SVO). Ciò consente alla botnet di utilizzare il servizio di accessibilità, consentendogli di crittografare i file sul dispositivo.

Il codice del malware indica quattro diversi server crittografati di comando e controllo (C&C) in grado di comunicare con Lucy. I server C&C sono codificati come nomi di dominio anziché come indirizzi IP, il che significa che qualsiasi server messo offline può essere riattivato semplicemente assumendo un indirizzo IP diverso. Il codice indica una serie di comandi che i server C&C possono inviare senza la conoscenza o l’autorizzazione dell’utente, inclusi quelli per visualizzare tutte le directory sul dispositivo per crittografare i file, decrittografare i file se viene riscattato, rifiutare il pagamento e rimuovere il malware dal dispositivo.

“Stiamo assistendo a un’evoluzione del ransomware mobile”, ha dichiarato in un comunicato stampa il responsabile Check Point di Mobile Research di Aviran Hazum. “Il malware mobile è più sofisticato, più efficiente. Gli attori delle minacce stanno imparando rapidamente, attingendo dalla loro esperienza delle campagne passate. L’imitazione dell’FBI è una chiara tattica di paura. Prima o poi, prevediamo che il mondo mobile subirà un attacco distruttivo di ransomware. È una possibilità spaventosa ma molto reale. Sollecitiamo tutti a pensarci due volte prima di accettare o abilitare qualsiasi cosa durante la navigazione di video sui social media. ”

Per proteggersi dal malware mobile, Hazum consiglia alle persone di installare un prodotto di sicurezza sul proprio dispositivo, utilizzare solo app store e mercati ufficiali e mantenere sempre aggiornati il ​​sistema operativo e le app.

Link alla fonte

LEAVE A REPLY

Please enter your comment!
Please enter your name here