Egy új zsarolóvírust fedeztek fel az ESET szakemberei, amely az áldozatok kontaktlistáján szereplő embereknek küld rosszindulatú linkeket SMS-ben. Az Android/Filecoder.C vírus szöveges üzenetet küld az áldozat névjegyzékében szereplő címekre, és arra ösztönzi a címzetteket, hogy kattintsanak a linkre, amely a vírus telepítőfájljához vezet. Ha sikerrel járt és telepítette magát a készülékre, akkor titkosítja az azon talált fájlokat, és pénzt követel a titkosítás feloldásáért.

A zsarolóvírust eredetileg felnőtt tartalmakkal kapcsolatos fórumtémákban terjesztették a Reddit oldalain. Az ESET munkatársai jelentették a zsarolóvírus kampányban használt Reddit profilt, de azt azóta sem tiltották le. A vírus rövid ideig az "XDA fejlesztők" nevű fórumon is futott, amely az Android fejlesztők platformja, de az ESET jelentése alapján az operátorok már eltávolították a rosszindulatú üzeneteket.

"Az általunk felfedezett akció egyelőre csekély mértékű és amatőr. Bármely titkosított fájl helyreállítható a támadók segítsége nélkül is" – mondta Lukáš Štefanko, ESET-kutató. Az Android/Filecoder.C nevű zsarolóvírus ugyanis rosszul hajtja végre a titkosítást, mivel a vírus jelenlegi verziójában a készítők többször is hibáztak a titkosításban.

Az algoritmus nem kódolja a nagy méretű archívumokat (50 MB fölött) és a kis méretű képeket (150 KB alatt), illetve a kártevő által kiválasztott „titkosítandó fájltípusok” listája is elég összecsapott, átgondolatlan. "A listát gyaníthatóan egy másik korábbi kártevő kódja alapján a hírhedt WannaCry zsarolóvírusból másolták" – jegyezte meg Štefanko. "Ha azonban a fejlesztők kijavítják ezeket a hibákat, és a terjesztés tömegessé válik, ez az új zsarolóvírus komoly veszélyt jelenthet" – tette hozzá.

A vírus más szempotból is furcsán viselkedik: a tipikus Androidos zsarolóvírusoktól eltérően nem zárja le a képernyőt, hogy blokkolja a felhasználó hozzáférését a készülékhez. A váltságdíj sem egységes, így a zsarolás során kért összegek dinamikusan változnak az áldozathoz létrehozott UserID-től függően: általában 0,01-0,02 bitcoin között mozognak.

Elméletileg segítené a fertőzés széles körű terjedését, hogy a zsarolóvírus által küldött üzenetnek 42 különféle nyelvre lefordított változata van. "Szerencsére még a kevésbé biztonságtudatos felhasználók is könnyen észrevehetik, hogy az üzenetek fordítása kifejezetten gyenge, sőt egyes nyelvi verziók teljesen zagyvák, értelmetlenek" – mondta Štefanko.

Az ESET a következőket javasolja a Android/Filecoder.C-hez hasonló vírusok elkerülése érdekében:

• Tartsuk naprakészen eszközeinket, lehetőség szerint állítsuk be, hogy automatikusan frissüljenek, ha új verzió jelenik meg.
• Kizárólag a Google Play áruházból vagy más megbízható forrásból vásároljunk, illetve töltsünk le alkalmazásokat. Bár ezek a felületek sem teljesen mentesek a rosszindulatú programoktól, de mégis sokkal nagyobb eséllyel kerülhetjük el a kártevőket, mint az ellenőrizetlen letöltési helyeken.
• Mielőtt telepítünk egy alkalmazást, alaposan nézzük meg az értékeléseket és visszajelzéseket. Fókuszáljunk a negatív véleményekre, amelyek gyakran megbízható felhasználóktól érkeznek, míg a pozitív hozzászólások mögött sokszor maguk a támadók állnak.
• Alaposan nézzük meg, milyen hozzáférési engedélyeket kér egy alkalmazás. Ha olyan dologhoz szeretne hozzáférni, amelyek nem kapcsolódnak a szolgáltatáshoz, akkor inkább ne telepítsük.
• Használjunk megbízható mobilvédelmi megoldásokat.
• Az esetleges adatvesztés elkerülése érdekében célszerű időnként az Androidos eszközről is adatmentést végezni külső adathordozóra, vagy felhős tárhelyre. Komolyabb fertőzés esetén ugyanis néha a gyári állapot helyreállítására (factory reset) kényszerülhetünk, mentés birtokában viszont könnyen helyre tudjuk állítani az értékes adatainkat.