Ora il ransomware minaccia di screditarti con gli amici

Mar 31, 2017 Marco Schiaffino Malware, Minacce, News, Ransomware, RSS 0

Un nuovo malware per Android blocca lo smartphone e minaccia di inviare un SMS a tutti i contatti. “Gli diremo che hai visitato siti per pedofili”.

Sempre più aggressivi, sempre più subdoli: i pirati informatici attivi nel campo dei ransomware cercano di fare leva sulle paure delle potenziali vittime e non si fanno scrupoli a usare la diffamazione come strumento di ricatto.

Il caso, denunciato dalla società di sicurezza Zscaler, è esploso in Russia dove è comparso un ransomware che usa una tecnica di social engineering decisamente spregiudicata per fare pressione sulla vittima e indurla a pagare.

Il malware, distribuito sotto forma di un’app disponibile su store online e siti Internet indipendenti, ricorda come funzionamento il classico virus della “Polizia Postale” comparso qualche anno fa in Italia e già scimmiottato da un altro ransomware per iPhone di cui abbiamo parlato in precedenza su queste pagine.

La versione per Android, però, è decisamente più “aggressiva” e non si limita a bloccare il dispositivo. Nella richiesta di riscatto, infatti, i pirati minacciano di utilizzare lo smartphone per inviare a tutti i contatti in rubrica un SMS che avvisa che il telefono è stato bloccato perché è stato utilizzato per “visualizzare pornografia infantile”.

Insomma: la minaccia è che tutte le persone che conosciamo (amici, familiari e colleghi di lavoro) ricevano un SMS che ci descrive come pedofili.

Lo stratagemma non è nulla di nuovo e ha uno scopo ben preciso: terrorizzare la vittima per indurla ad agire senza riflettere. Rispetto a malware visti in precedenza, però, il nuovo ransomware usa toni decisamente “a tinte forti”.

Tutto comincia quando la vittima scarica e installa un’app per Android apparentemente innocua, che per qualche tempo (4 ore) non fa nulla di strano.

Trascorso questo intervallo di tempo, il proprietario dello smartphone si vede proporre una richiesta per l’attivazione di un “device administrator” che chiede alcuni permessi per la gestione della schermata di blocco.

La schermata visualizzata dal malware ricompare sullo schermo anche se il proprietario preme il pulsante “Cancel”, bloccando di fatto l’uso del telefono.

Se si acconsente all’attivazione, il dispositivo viene bloccato e sullo schermo compare una minacciosa richiesta di riscatto. Nel dettaglio, il messaggio (in lingua russa) informa lo sventurato possessore dello smartphone che il suo dispositivo sarebbe stato bloccato temporaneamente e che tutti i suoi dati sarebbero stati crittografati e trasferiti su un server in remoto.

Il motivo? La supposta violazione delle policy di Google e, in particolare, il download di contenuti pornografici aventi a oggetto pedofilia, zoofilia, violenza e incesto. Insomma: tra le accuse manca solo il genocidio.

A seguire, il messaggio contiene le istruzioni per pagare il riscatto (per una somma corrispondente a circa 10 dollari) e un’ulteriore minaccia: se il pagamento non verrà effettuato, sarà inviato un SMS a tutti i contatti presenti sulla rubrica informandoli dell’avvenuto blocco e delle motivazioni che lo avrebbero causato.

Naturalmente di tutto questo ben poco corrisponde a verità. Come spiegano gli analisti, il malware contatta effettivamente un server Command and Control, ma non sembra contenere alcuna funzione che gli consenta di trasmettere i dati memorizzati sul telefono e non integra nemmeno sistemi per inviare SMS a tutti i contatti in rubrica.

Di più: al suo interno non è previsto alcuno strumento in grado di comunicare l’eventuale pagamento del riscatto. Questo significa, in pratica, che anche pagando la somma richiesta non si ottiene un modo per sbloccare il dispositivo.

Per uscire dall’empasse, per fortuna, esiste un metodo estremamente semplice: basta riavviare il dispositivo in modalità provvisoria, cancellare i permessi concessi all’app e disinstallarla.

Condividi l'articolo