Un CryptoLocker per Android?

Vi ricordate quando vi avevamo detto che il ransomeware Cryptolocker era di certo una cattiva notizia? Beh, una nuova variante di questo ransomware sta colpiendo i dispositivi Android.

Locker - Android

Vi ricordate quando vi avevamo detto che il ransomeware Cryptolocker era di certo una cattiva notizia? Beh, una nuova variante di questo ransomware sta colpiendo i dispositivi Android. Questa minaccia si relazione in qualche modo con Cryptolocker, un ransomware in grado di criptare i file importanti del computer e poi chiedere alle sue vittime un riscattato per riaverli indietro decriptati. Data la popolarità di Android, la sua diffusione non ci sorprende.

I ransomware (da ransome, ricatto) sono una categoria di malware capaci di bloccare un computer e richiedere il pagamento di una determinata somma di denaro per sbloccarlo. In certi casi, il malware rende il computer inservibile; in altri (come nel caso di CryptoLocker) cripta i file importanti sul computer infetto e chiede una somma di denaro a cambio di un codice capace di decriptare i file in questione. In linea di massima, CryptoLocker è “onesto” e rispetta la parola data, ma non lo sono molti altri ransomeware che obbligano le proprie vittime a rivolgersi alle forze dell’ordine. L’avvertimento lanciato dal virus contempla spesso una sorta di violazione commessa dal proprietario del dispositivo. In altre parole la schermata che appare avverte l’utente che sul computer sono stati trovati contenuti illegali e che il proprietario deve pagare una multa per riavere il controllo del computer.

Il modo in cui questo ransomware sia relazionato con il noto Cryptolocker non è chiaro. Pare che i criminali abbiano approffittato del successo del vecchio Cryptolocker per realizzare una scam propria.

Nel caso di quest’ultimo ransomware, un gruppo di criminali (conosciuto come Raveton) responsabile di una grande varietà di ransomware lo sta “pubblicizzando” come un malware CryptoLocker in grado di attaccare i dispositivi mobili Android.

Un noto ricercatore di sicurezza, che opera sotto lo pseudonimo di “Kaffeine”, ha fatto alcune scoperte e ha scritto un articolo sul suo blog dal titolo “Malware don’t need Coffee“. Il ricercatore ha riscontrato che quando le vittime si collegavano con i loro dispositivi a un dominio infettato dal malware, venivano redirezionati a siti pornografici che utilizzavano tecniche di ingegneria sociale per spingere gli utenti verso un’applicazione contenente un malware.

Ma ci sono anche delle buone notizie: spesso questo malware lo installiamo noi stessi senza accorgecene. Per questa ragione, se facciamo attenzione, potremmo evitarlo. Ecco perché raccomandiamo sempre agli utenti di installare solo applicazioni originali provenienti dal Google Play.

“I locker sono malware tenaci” afferma Kaffeine nel suo articolo. “Potete ignorare lo schermo, ma il computer non funzionerà comunque. Potete tentare di aprire il browser, lanciare un’applicazione o il Task Manager, ma il locker ti riporterà sempre alla schermata di avviso”.

Il file dell’applicazione che l’utente potrebbe scaricare e, così finire per contrarre l’infezione, potrebbe mascherarsi come file porno. Se poi l’utente lancia questa app, visualizzerà la schermata in cui si notifica all’utente che è accusato di vedere e diffondere pornografia sul telefono.

Il messaggio inoltre informa l’utente che lui/lei rischia 11 anni di carcere a meno che non paghi una multa per esempio di 300$ via MoneyPak.

La versione del kit che è stata messa a punto dalla gang Reveton ha diverse varianti e può colpire in ben 30 paesi tra cui Stati Uniti, Regno Unito, Francia, Germania, Austraqlia e Spagna.

Il modo in cui questo ransomware sia relazionato con il noto Cryptolocker non è chiaro. Pare che i criminali abbiano approffittato del successo del vecchio Cryptolocker per realizzare una scam propria. Questo è interessante perché dimostra che i cybercriminali copiano idee e cercano di massimizzare i profitti… ma questa è un’altra storia.

Consigli