FLocker è il ransomware che infetta anche le SmartTV

 

Proto: N010616.

 

Con la presente Yoroi desidera comunicarLe che è stata recentemente resa nota una nuova campagna di diffusione del ransomware FLocker. Frantic Locker, questo il nome per esteso del malware, colpisce tutte le tipologie di dispositivi che installano il sistema operativo Android mostrando un lock-screen che ne impedisce l’utilizzo fino al pagamento di un riscatto. Questo lo rende capace di infettare anche SmartTV che installano il noto sistema operativo di Google.
É stato diffuso per la prima volta a Maggio 2015 ed è rimasto in attività fin da allora rilasciando migliaia di varianti.
L’ultima versione si finge una agenzia governativa che accusa la vittima di reati che non ha commesso e richiede il pagamento di una ammenda di 200 dollari in buoni regalo iTunes.

All’inizio della sua esecuzione FLocker controlla la posizione geografica del dispositivo e si disattiva se riconosce la vittima in uno dei seguenti paesi dell’Europa dell’est:

  • Armenia
  • Azerbaigian
  • Bielorussia
  • Bulgaria
  • Georgia
  • Kazakistan
  • Ucraina
  • Ungheria
  • Russia

Prima di procedere con l’esecuzione il malware attende 30 minuti, probabilmente per bypassare i controlli delle analisi dinamiche di alcune sandbox, dopo di che avvia un servizio di sistema che richiede i privilegi di amministrazione e se l’utente nega l’autorizzazione blocca lo schermo simulando un aggiornamento del sistema. Il servizio così installato contatta il server di comando e controllo (C&C) da cui scarica un file malevolo chiamato mispelled.apk e un file HTML contenente Javascript in grado di eseguire l’applicazione appena scaricata ed accedere alla fotocamera del dispositivo per scattare alcune foto della vittima da visualizzare insieme alle informazioni del riscatto.

FLocker si diffonde principalmente attraverso SMS o la diffusione di link malevoli, per questo motivo è necessario prestare particolare attenzione quando si ricevono messaggi SMS o Email da contatti sconosciuti o sospetti.

Se la vostra SmartTV viene infettata si consiglia di contattare il produttore per avere una soluzione su misura per il vostro dispositivo.
In alternativa è possibile procedere ad una mitigazione manuale se sussistono le seguenti condizioni:

  1. Avete la possibilità di collegare il dispositivo infetto ad un PC
  2. Sul dispositivo è attiva o si ha la possibilità di attivare la funzionalità Android Debug Bridge (ADB)
  3. Sul PC sono installati gli strumenti Android Debug Bridge (ADB)

Per procedere con la rimozione manuale è necessario collegare il PC al dispositivo, avviare ADB Shell e terminare il processo malevolo attraverso il seguente comando:

PM clear %pkg%


A questo punto si può procedere con la disinstallazione dell’applicazione dal Google Play Store.

Yoroi suggerisce di mantenere alto il livello di guardia all’interno della vostra organizzazione, di dotare le vostre organizzazioni di strumenti di sicurezza perimetrali opportuni e moderni come Next Generation Firewall, Next Generation IPS e IDS, di monitorare attivamente lo stato di sicurezza degli asset aziendali attraverso servizi di monitoraggio come MAMP (Managed Advanced Malware Protection).



Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index