Ransomware simile a WannaCry che colpisce gli smartphone Android

La versione simile a WannaCry cripta i file sulla memoria esterna degli smartphone Android

Sembra che il ransomware WannaCry sia diventato una fonte di ispirazione per molti delinquenti in tutto il mondo. Abbiamo recentemente riportato come un teenager di 14 anni dal Giappone, impressionato dal malware, sia stato arrestato la settimana scorsa per aver sviluppato un malware simile a WannaCry.

Ora, i criminali informatici in Cina hanno sviluppato un ransomware Android che utilizza grafiche simili a quelle di WannaCry e inganna gli utenti a pagare rapidamente il riscatto.

Per chi non lo sapesse, il ransomware WannaCry ha sfruttato una vulnerabilità nel sistema operativo Windows di Microsoft e ha infettato più di 300.000 computer in 150 paesi in 72 ore il mese scorso. Il cryptoworm WannaCry ha criptato i dati e ha richiesto un pagamento in valuta virtuale Bitcoin in cambio di una password per sbloccare i dati.

Rilevato per la prima volta dalla società di sicurezza cinese Qihoo 360 e soprannominato “WannaLocker” da Avast, questa versione simile al ransomware WannaCry sta attualmente prendendo di mira gli utenti Android che vivono in Cina. Gli hacker stanno diffondendo questo ransomware tramite forum di giochi cinesi dove è travestito da plugin per il King of Glory, un gioco mobile molto popolare in Cina.

Come funziona il malware?

Dopo l’installazione di questo falso componente nel dispositivo, il ransomware WannaLocker nasconde la sua icona dall’elenco delle app e cambia lo sfondo principale sul dispositivo infetto con un’immagine anime. Poi, inizia a criptare i file memorizzati sulla memoria esterna del dispositivo infetto.

Il ransomware utilizza la crittografia AES per bloccare i file (vedi codice qui sotto). Per prevenire la corruzione e il crash del sistema operativo Android, non cripta i file che iniziano con un “.”, o i file che includono “DCIM”, “download”, “miad”, “android” e “com.” nel percorso, o i file che sono più grandi di 10 KB.

Una volta completato il processo di crittografia, richiede un riscatto anche inferiore a quello di Simplocker, e utilizza un messaggio di riscatto chiaramente ispirato alla nota di WannaCry per rivelare le sue richieste.

Nikolaos Chrysaidos, responsabile della sicurezza e dell’intelligence sulle minacce mobili di Avast, spiega di più in un post sul blog:

“Il ransomware richiede quindi un riscatto di 40 Renminbi cinesi, che equivale a circa 5-6 dollari americani. Non è molto rispetto a quanto richiesto da altri ransomware mobili in passato. Il fatto che il riscatto venga richiesto in valuta normale e non in criptovalute mi fa pensare che le persone dietro a questo stiano cercando di guadagnare, e in fretta. Questo è, tuttavia, rischioso poiché il denaro può essere facilmente tracciato, a differenza di quando si inviano criptovalute.”

Le vittime del ransomware sono istruite a pagare il riscatto in valuta normale utilizzando metodi di pagamento cinesi come QQ, Alipay e WeChat.

La gestione approssimativa del riscatto suggerisce che potrebbe essere un’opera di un hacker dilettante o di un gruppo di hacker. Di conseguenza, è solo una questione di tempo prima che le autorità cinesi scoprano chi c’è dietro il ransomware WannaLocker e chi sta ricevendo il riscatto.

Ecco un consiglio di sicurezza da Avast per gli utenti Android:

Per proteggere il tuo telefono e le preziose foto, video e contatti memorizzati su di esso dai ransomware, assicurati di eseguire frequentemente il backup dei tuoi dati e di installare antivirus su tutti i tuoi dispositivi.

Inoltre, gli utenti Android dovrebbero astenersi dal scaricare app su qualsiasi marketplace di app diverso da Google Play. Nel caso in cui tu diventi vittima di un attacco basato su riscatto, non cedere alla richiesta di riscatto e cerca invece aiuto professionale.

La settimana scorsa, Check Point, una società di sicurezza online, ha rilevato un malware dannoso chiamato “Fireball” creato dalla società pubblicitaria cinese Rafotech che prende il controllo del browser web dell’utente e genera clic pubblicitari falsi e promozioni per i suoi clienti online. Il malware ha colpito più di 250 milioni di computer in tutto il mondo, con l’India che è stata la più colpita.

Fonte: IBT