Solitamente un ransomware richiede soldi o criptovalute dopo aver bloccato un computer, un telefono o dopo aver criptato i dati di un dispositivo. I nostri laboratori di sicurezza però hanno individuato un ransomware per Android nascosto in due app fake, che richiede, dopo aver bloccato il dispositivo infetto, non soldi o criptovaluta, ma una Gift Card di iTunes. Queste carte possono essere vendute sui siti di aste, sui social o nel Dark Web.

 

Il tuo smartphone Android può essere infettato da questo ransomware scaricando un app dannosa (che va sotto il nome di "Porn Hub") su store di terze parti, oppure ricevuto via email, bluetooth o siti di condivisione dei file.

 

Nome dell'App: Porn Hub

Nome del pacchetto: com.pornhub_tools

MD5: 9fadc90562ce6e275eb6db8e6ca6ddad

Dimensione: 39 KB

 

Dopo che il ransomware ha bloccato il dispositivo, mostra una nota di riscatto nella quale si chiede appunto una carta regalo iTunes del valore di 200 dollari come penalità per aver guardato materiale pedopornografico. Nella nota viene mostrato un URL: ciò accade se il tuo dispositivo è connesso a Internet.

 

 

 

Se il tuo dispositivo non è connesso, il ransomware mostra una diversa nota di riscatto: in questa versione viene detto che tutti i file sono stati criptati è che si deve pagare un ammontare di circa 100 dollari in Bitcoin per sbloccare il dispositivo e decriptare i dati.

 

 

Nella nostra analisi, tuttavia, non abbiamo trovato nessuna traccia di meccanismi di criptazione dei file da parte di questo ransomware. E' quindi possibile recuperare i propri file semplicemente connettendo il dispositivo al PC.

Quando abbiamo provato ad aprire l'app dannosa, ci è stato subito chiesta la concessione delle  permissioni di amministrazione sul dispositivo. Abbiamo selezionato "cancel", ma l'app ha continuato insistentemente a richiedere le permissioni fino a quando non abbiamo selezionato "activate".

 

Una volta attivata, l'app verifica per prima cosa se il dispositivo sia connesso o meno ad Internet. Quando il dispositivo è online, l'app raccoglie i dati sul dispositivo (ID dello smartphone, operatore della Sim ecc...).

Questi dati vengono inviati ad URL (HTTP://*******.w*n//private/tuk_tuk.php, il quale carica la webpage dove viene richiesta la Gift Card di iTunes.

 

Se il dispositivo non è online, l'app carica la pagina HTML che richiede il riscatto in Bitcoin. 

 

Nome dell'App: Dropbox

Nome del pacchetto: com.example.testlock

MD5: 17bc088027d2f3f71a74beed3a9c715

Dimensione: 415 KB

 

Abbiamo individuato una seconda app che nasconde un ransomware che richiede una Card di iTunes come riscatto. Questa app usa l'icona di Dropbox (il famoso servizio di file hosting). Quando abbiamo aperto questa app, ci ha chiesto subito la concessione dei permessi di Amministrazione del dispositivo, esattamente come successo per l'app precedente.

 

 

Una volta attivata, il ransomware mostra la nota di riscatto nella quale si avvisa che il dispositivo è stato bloccato dall'FBI come pena per aver visualizzato materiale pedo-pornografico. Per sbloccare il dispositivo si richiede una Gift Card di circa 25 Dollari, da pagare entro 72 ore. 

 

 

La nota chiede all'utente di inserire il codice di una Gift Card del valore richiesto. Se l'utente immette un codice errato, viene mostrato un messaggio per avvisare l'utente che ha a disposizione solo 2 altri tentativi, dopo i quali il dispositivo verrà bloccato permanentemente.

 

Dalla nostra analisi è emerso, tuttavia, che questo avviso è falso e viene mostrato solo per spaventare l'utente e indurlo con l'inganno a pagare il riscatto.

 

 

Quick Heal individua con successo questi ransomware come Android.Locker.Aa54f e Android.Locker.Aa550. Raccomandiamo fortemente di non pagare il riscatto, perchè non c'è alcuna garanzia di poter ottenere di nuovo l'acceso ai file o di vedere il proprio dispositivo sbloccato dopo il pagamento. 

 

1. Prima di scaricare qualsiasi app (anche dal Google Play) verifica la fonte. Controlla il sito web dello sviluppatore e leggi le recensioni.
2. Se ti è possibile, non scaricare app da app store di terze parti. La maggior parte delle app infette provengono infatti da app store di terze parti. 
3. Mantieni sempre disabilitata l'opzione "Unknow Sources". Abilitare questa opzione consente infatti l'installazione di app da fonti sconosciute. Vai sulle impostazioni del tuo dispositivo, cerca la sezione "Sicurezza", cerca "Fonti Sconosciute" e disabilita l'opzione. 
4. Installa un antivirus solido e affidabile, che possa bloccare le app sospette e/o dannose.