I laboratori Mcafee hanno individuato un nuovo ransomware in due app residenti nel Play Store (dopo la segnalazione sono state prontamente rimosse).
Il bello del ransomware è che non cripta alcun dato, al contrario della sua affermazione in fase di richiesta “riscatto”, infatti dopo l’infezione mostra una finestra a schermo intero di questo tipo:
dove afferma di avere accesso pressoché a tutti i dati sensibili e personali dell’utente, chiedendo un riscatto di 50 dollari.
Le app rilevate da Mcafee sono due e si chiamano “Wallpapers Blur HD” e “Booster & Cleaner Pro,” scaricate 5-10 mila volte la prima e 1-5 mila volte la seconda. L’app scaricata è attendibile e non contiene alcun payload dannoso, l’infezione avviene successivamente: dopo l’installazione l’app scarica dal proprio server C&C il payload dannoso bloccando quindi la home screen e mostrando il messaggio di riscatto.
Di seguito gli screenshot delle due app (fonte: LeakerLocker: Mobile Ransomware Acts Without Encryption | McAfee Blogs)
Wallpapers Blur HD
Il ransomware non cripta alcun dato bensì raccoglie solo alcuni dati casuali tra cui contatti, chiamate e messaggi, cronologia di Chrome, email della vittima, ha la possibilità di scattare foto con la fotocamera ed avere accesso ad alcune informazioni sul dispositivo. Come evidenziato ad inizio articolo, Google ha rimosso le due app del Play Store.
Se avete una di queste due app nel vostro dispositivo rimuovetela subito, quindi eseguite una scansione antivirus del vostro dispositivo.
Approfondimenti e fonte: LeakerLocker: Mobile Ransomware Acts Without Encryption | McAfee Blogs