Dopo WannaCry e Petya ransomware, un nuovo ransomware si sta diffondendo tramite apposite applicazioni Google Play Store, infatti questa volta ad essere presi di mira sono i dispositivi Android.
LeakerLocker, il ransomware di Android si differenzia in modo significativo dai suoi precedessori, infatti non crittografa i file sul dispositivo della vittima, ma raccoglie segretamente immagini personali, messaggi e cronologia di navigazione minacciando di condividerlo con i propri contatti se non vengono pagati $ 50.
I ricercatori della società di sicurezza McAfee hanno individuato il ransomware LeakerLocker in almeno due applicazioni – Booster & Cleaner Pro e Wallpaper Blur HD – nel Google Play Store, che dispongono di migliaia di download.
Per evitare il rilevamento di funzionalità dannose, le applicazioni inizialmente non contengono alcun payload dannoso e funzioni tipiche come le applicazioni legittime.
Ma una volta installate, le applicazioni caricano il codice dannoso dal proprio server di comando e controllo, da questo momento le app iniziano a raccogliere un gran numero di dati sensibili dal telefono della vittima, anche grazie al fatto che la maggior parte degli utenti concedono autorizzazioni inutili durante l’installazione.
Es: Perché autorizzare un app di wallpaper al controllo dei contatti??
Il ransomware LeakerLocker blocca quindi la schermata iniziale e visualizza un messaggio che contiene i dettagli dei dati che afferma di aver rubato e fornisce le istruzioni su come pagare il riscatto per garantire che le informazioni vengano eliminate.
Questo il messaggio di riscatto:
Tutti i dati personali del tuo smartphone sono stati trasferiti sul nostro cloud protetto.
In meno di 72 ore questi dati verranno inviati a tutte le persone presenti nel tuo telefono e nell’elenco dei contatti di posta elettronica. Per interrompere questa azione devi pagare $ 50 (£ 38).
Si prega di notare che non c’è modo di eliminare i tuoi dati dal nostro cloud. Spegnere o persino danneggiare lo smartphone non influenzerà i tuoi dati nel cloud.
Sebbene il ransomware affermi di aver eseguito un backup di tutte le informazioni sensibili, incluse foto personali, numeri di contatti, SMS, chiamate e posizioni GPS e storia di navigazione e corrispondenza, i ricercatori ritengono che solo un numero limitato di dati sulle vittime possa essere raccolto.
Secondo i ricercatori, LeakerLocker può leggere l’indirizzo email, i contatti casuali, la cronologia di Chrome, alcuni messaggi di testo e chiamate, scattare una foto dalla fotocamera e leggere alcune informazioni sul dispositivo.
Tutte le informazioni sopra indicate sono scelte casualmente per essere visualizzate sullo schermo del dispositivo, sufficiente per convincere le vittime che sono stati copiati molti dati.
Entrambe le applicazioni dannose sono state rimosse da Google da Play Store, ma è probabile che gli hacker cercheranno di contrabbandare il proprio software in altre applicazioni.
Se avete installato una delle due applicazioni, disinstallatela il prima possibile.
Ultimo consiglio: mai pagare! Pagare motiverà sempre di più i criminali informatici ad effettuare attacchi simili e non c’è garanzia che le informazioni rubate, vengano eliminate dagli hacker dal loro server e non saranno utilizzate per ricattarvi nuovamente.
(fonte http://thehackernews.com)
