אמנם נוזקות לאנדרואיד החלו בדעיכה ב-2017, אך לאחרונה חוקרים של חברת אבטחת המידע ESET גילתה משפחת נוזקות חדשה – Android/Filecoder.C אשר משתמשת ברשימת אנשי הקשר של הקורבן במטרה להתפשט אף יותר באמצעות הודעות SMS עם לינקים זדוניים, גם בשפה העברית. תוכנת הכופר החדשה נראתה מופצת באמצעות נושאים הקשורים לפורנו בפורום הפופולארי Reddit. חשוב לציין כי הפרופיל הזדוני אשר שימש להפצת הקמפיין עדיין פעיל.
חוקר אבטחת המידע, לוקשא סטפנקו (Lukáš Štefanko) מציין כי “כרגע מדובר בקמפיין קטן וחביב, תוכנת הכופר עצמה בעלת פגמים, בעיקר מבחינת ההצפנה אשר מיושמת לא טוב. ניתן לשחזר את כל הקבצים המוצפנים ללא עזרת התוקפים. אך יש לקחת בחשבון כי אם המפתחים יתקנו את הליקויים וההפצה, תכנת הכופר הזו עלולה להפוך לאיום רציני”.
תוכנת הכופר החדשה בולטת בזכות מערכת ההפצה שלה. לפני שהיא מתחילה להצפין קבצים, היא שולחת הודעות טקסט לכל אנשי הקשר ברשימת הקורבן ומפתה את הנמענים ללחוץ על הקישור הזדוני אשר מוביל לקובץ ההתקנה של הנוזקה. דרך פעולה זו יכולה להוביל לכמות גדולה של נפגעים, היא גם כוללת 42 גרסאות מתורגמות לשפות שונות, בהן אפילו עברית. החוקר מציין כי גם משתמשים שאינם חושדים ישימו לב שהתרגום מבוצע בצורה גרועה, אך למעשה בעברית הוא דווקא בסדר: “איך הם יכולים לשים את התמונות שלך באפליקציה הזו, אני חושב שאני צריך לספר לך“.
בנוזקה ישנן כמה חריגות בהצפנה: היא אינה כוללת ארכיוניות גדולים (מעל 50MB) ותמונות קטנות (מתחת 150KB) ורשימת הקבצים להצפנה מכילה רשומות רבות שאינן קשורות לאנדרואיד, ייתכן כי כל הנראה היא הועתקה מתוכנת הכופר המפורסמת WannaCry. שלא כמו תוכנת כופר אנדרואיד טיפוסית, Android/Filecoder.C אינה מונעת מהמשתמשים גישה למכשיר על ידי נעילת המסך ואף סכום הכופר אותו מבקשים התוקפים הוא דינמי ונקבע באמצעות UserID שהוקצה במיוחד לקורבן המסוים.
הגילוי החדש מצביע על כך שעדיין קיים איום כופר על משתמשי אנדרואיד והוא ממשיך להתפתח. על מנת להישאר בטוחים, חשוב להקפיד על כללי אבטחת מידע בסיסיים:
- שימרו על המכשיר מעודכן (כדאי לאשר ביצוע עדכונים באופן אוטומטי)
- הורידו אפליקציות רק מהחנויות הרשמיות, הן אמנם לא נקיות מכל האיומים אך ככל הנראה תצליחו להימנע מהם.
- לפני התקנת אפליקציה חדשה, בדקו את הדירוג והביקורות. התמקדו באלו השליליים, בדרך כלל הם אלו שמגיעים ממשתמשים לגיטימיים להבדיל מהביקורות החיוביות אשר מגיעות מהתוקפים.
- השתמשו בפתרון אבטחה אמין לטלפון הנייד כדי לחסום ולהסיר איומים.
- שימו לב לאילו הרשאות מבקשת מכם האפליקציה. אם נראה כי ההרשאה אינה מתאימה לפעילות האפליקציה, הימנעו מלהוריד אותה