بدافزار موبایلی Android/Filecoder.C

بدافزار اندرویدی Android/Filecoder.C باج‌افزاری است که توسط ESET در تاریخ دوازدهم جولای 2019 کشف شده و سیستم‌های عامل اندروید با نسخه‌ی 5.1 و بالاتر را آلوده می‌سازد. مهاجمان برای انتشار این باج‌افزار از وب‌سایت‌های reddit و xda-developers با ارسال پست‌های حاوی لینک به بدافزار استفاده می‌کنند. مهاجمان برای فریب کاربران برای کلیک کردن بر روی لینک‌های آلوده در پست‌های ارسالی، از مضامین غیر اخلاقی و در برخی موارد، موضوعات مرتبط با تکنولوژی استفاده می‌کنند. این باج‌افزار بعد از نصب بر روی تلفن همراه قربانی و پیش از رمزگذاری فایل‌ها، با ارسال لینک بدافزار از طریق پیامک به تمامی سرشماره‌های موجود در فهرست مخاطبین قربانی، تعداد قربانیان خود را افزایش می‌دهد.
کاربر با کلیک بر روی لینک موجود در وب‌سایت‌های مذکور و یا لینک موجود در پیامک دریافتی و نصب برنامه اندرویدی آلوده، قربانی این بدافزار شده و بسیاری از فایل‌های موجود در تلفن همراه او رمزگذاری شده و بدون پرداخت باج مورد نظر مهاجم، از طریق آدرس بیت‌کوین ارائه شده، جهت دریافت کلید رمزگشایی، عملا امکان استفاده از این فایل‌های رمزگذاری شده وجود نخواهد نداشت.
لازم به ذکر است که این بدافزار برخلاف باج‌افزارهای اندرویدی پیشین، با قفل کردن صفحه، مانع از کار کاربر با دستگاه اندرویدی نشده ولی در صورت حذف بدافزار از روی دستگاه اندرویدی، دیگر امکان رمزگشایی فایل‌ها وجود نخواهد داشت. در ضمن این بدافزار فایل‌هایی با ویژگی‌های زیر را رمزگذاری نمی‌کند:
فایل‌های موجود در مسیرهای حاوی رشته‌های «.cache»، «tmp» و یا «temp»
فایل‌های با پسوند .zip و .rar
فایل‌های با اندازه بزرگ‌تر از 50 مگابایت
تصاویر با پسوند .jpeg، .jpg و .png با اندازه کوچکتر از 150 کیلوبایت
فایل‌های اندرویدی مثل .apk و .dex
این بدافزار از آدرس‌های زیر به عنوان مرکز کنترل و فرمان خود استفاده می‌کند:

http://rich7.xyz
http://wevx.xyz
https://pastebin.com/raw/LQwGQ0RQ

نشانه‌های آلودگی
نمایش یادداشت مرتبط با باج‌گیری در صفحه نمایش تلفن همراه قربانی (بعد از اتمام عملیات رمزگذاری فایل‌ها)، غیر قابل استفاده بودن بسیاری از فایل‌های موجود در تلفن همراه قربانی به دلیل رمزگذاری شدن آن‌ها از جمله فایل‌های ویدیویی و تصاویر و وجود فایل‌های زیادی با پسوند .seven در تلفن همراه
روش‌های پاکسازی تلفن همراه آلوده
عملا بدون دسترسی به کلید رمزگشایی، امکان استفاده مجدد از فایل‌های رمزگذاری شده وجود نداشته و در صورت حذف بدافزار نیز امکان بازیابی مجدد فایل‌های رمزگذاری شده وجود نخواهد داشت.
روش‌های جلوگیری از آلودگی
توجه به توصیه‌های ارائه شده در زیر می‌تواند نقش بسزایی در جلوگیری از آلودگی تلفن‌های همراه به بدافزارهای مذکور داشته باشد:
نصب برنامک از منابع معتبر
بهتر است برای به حداقل رساندن احتمال نصب بدافزار، برنامک‌های اندروید از منابع معتبری نظیر Google play store نصب شود؛ هر چند طبق اخبار رصد شده، همچنان امکان نصب بدافزار از هر منبعی وجود دارد.
بروزرسانی سیستم عامل دستگاه اندرویدی
بهتر است برای جلوگیری از سوء استفاده‌ی هکرها از آسیب‌پذیری‌های شناخته شده و موجود، سیستم عامل دستگاه اندرویدی به آخرین نسخه‌ی ممکن بروزرسانی شود.
توجه به مجوزهای درخواستی برنامک‌ها پیش از نصب
برنامه‌های اندروید پیش از نصب، فهرستی از مجوزهای دسترسی که برای نصب به آن‌ها نیاز دارند را اعلام می‌کنند. بهتر است پیش از نصب با در نظر گرفتن کارکرد مورد انتظار از برنامه، در صورت‌ درخواست مجوزی بیش از حد نیاز، از نصب آن اجتناب شود.
توجه به امتیاز برنامک‌ها و نظرات کاربران
بهتر است قبل از نصب برنامک از یک منبع معتبر، به امتیاز برنامک و نظرات کاربران، خصوصا نظرات منفی در رابطه با آن برنامک توجه کافی شود، چرا که بسیاری از نظرات مثبت مربوط به مهاجمان است.
نصب ضد ویروس و بروزرسانی آن
از آنجا که در سال‌های اخیر شیوع گسترده انواع بدافزارها و ویروس‌ها بر روی تلفن‌های همراه منجر به ایجاد مشکلات فراوانی برای صاحبان آن‌ها شده است، لذا نصب برنامک‌های ضد ویروس یکی از کارهای ضروری جهت جلوگیری از آلوده شدن تلفن همراه و انتشار برنامک‌های مخرب است. همچنین در استفاده از این برنامک‌ها توجه داشته باشید که همواره از برنامک‌های ضد ویروس معتبر استفاده کرده و مرتباً با انجام بروزرسانی برای این برنامک‌ها از انجام پروسه صحیح ویروس‌یابی بر روی تلفن همراه خود اطمینان حاصل کنید.

راهبر