Perusahaan keamanan internet, ESET menemukan sebuah ransomware baru yang menyerang sistem operasi Google Android menggunakan pesan singkat (SMS). Dalam situs resminya, ransomware ini memiliki nama Android/Filecoder.C.
Filecode telah aktif sejak 12 Juli 2019 dan menyebar melalui postingan berbahaya di forum online termasuk Reddit dan forum pengembang Android ternama, yakni XDA Developers. Kebanyakan postingan berbahaya yang ditemukan oleh ESET berupaya memikat korban untuk mengunduh materi pornografi berisikan malware dan menyamarkan domain dengan tautan bit.ly.
Setelah diinstal pada smartphone Android, Filecoder bakal menjarah seluruh daftar kontak korban dan mengirimkan pesan ke setiap kontak. Tautan ini diiklankan sebagai aplikasi yang menggunakan foto-foto kontak. Namun pada kenyataannya, itu adalah aplikasi jahat yang menyimpan ransomware.
Bergantung pada pengaturan bahasa perangkat yang terinfeksi, pesan akan dikirim dalam salah satu dari 42 versi bahasa yang memungkinkan, dan nama kontak juga disertakan dalam pesan secara otomatis.
Saat seseorang menerima pesan lalu mengklik tautan yang mereka sebar, maka mereka juga akan terinfeksi. Tautan itu menampilkan materi seperti simulator seks. Namun, tujuan sebenarnya berjalan diam-diam di latar belakang (background).
Malware tersebut berisi instruksi berupa perintah dan kontrol (C2) hardcoded, serta alamat dompet Bitcoin, dalam kode sumbernya. Setelah pesan berisi malware tersebut dikirim, Filecoder kemudian memindai perangkat yang terinfeksi untuk menemukan semua file penyimpanan dan akan mengenkripsi sebagian besar data tersebut.
Filecoder akan mengenkripsi tipe file termasuk file teks dan gambar tetapi gagal menyertakan file khusus Android seperti .apk atau .dex. Korban pun kabarnya akan mendapatkan catatan tebusan, dengan tuntutan mulai dari sekitar 98-188 dolar AS (Rp1,37-Rp2,6 juta) dalam mata uang kripto.
Malware tidak mengunci layar perangkat atau mencegah penggunaan smartphone, tetapi saat korban menghapus aplikasi, mereka tidak dapat melakukannya karena dienkripsi oleh para peretas. Untungnya, malware tersebut untuk sementara ini masih belum tersebar ke banyak perangkat Android.
Namun, seperti dilansir Zdnet, para peneliti mengatakan bahwa kunci hardcoded dapat digunakan utnuk mendeskripsi file tanpa harus membayar uang tebusan dengan mengubah algoritma enkripsi ke algoritma dekripsi dan yang dibutuhkan hanya UserID yang disediakan oleh ransomware kepada korban di catatan tebusan.
Untuk menghindari infeksi ransomware ini, ESET menyarankan pengguna untuk tetap memperbarui patch keamanan perangkatnya, hanya mengunduh aplikasi dari Google Play Store atau sumber terpercaya lain, melihat rating dan review aplikasi sebelum instalasi, dan memperhatikan permission dari setiap aplikasi.