Un ransomware per Android che parla XMPP

Ransomware per Android che comunica via XMPPI tecnici di CheckPoint hanno identificato un ransomware che infetta dispositivi Android e che, dopo aver criptato i documenti dell’utente, comunica con il server dei criminali attraverso il protocollo di messaggistica XMPP. Una specie di Cryptolocker per Smartphone con Android, che si finge l’NSA (National Security Agency) e chiede il riscatto, non in bitcoin ma tramite il sistema di pagamento “Paypal My Cash Card”.

Dopo Simplocker e Koler, i tecnici CheckPoint hanno analizzato una nuova minaccia per gli utilizzatori di smartphone Android, che si diffonde fingendosi una normalissima applicazione da scaricare dal Google Play Store, ad esempio come un Flash Player di quelli che si usano per vedere filmati e giochi in Flash.

Ransomware mascherato da Flash Player su Android Le stime sono di decine di migliaia di dispositivi infettati da parte di questo nuovo ransomware per Android e il motivo è che questo tipo di locker comunica con i proprio server di controllo (chiamato C&C, Command & Control) tramite un protocollo tipicamente utilizzato per messaggistica e chat, chiamato XMPP (Extensible Messaging and Presence Protocol). La comunicazione XMPP è nativamente criptata ed è difficile da filtrare, così il malware passa incolume tra le maglie di firewall e antivirus.

Altra particolarità del trojan è quella di richiedere il riscatto tramite la piattaforma Paypal My Cash Card e non in bitcoin, come invece ormai si verifica per la grande maggioranza dei ransomware come Cryptolocker, CryptoWall o CTB-Locker.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *