Cerbers ransom-meddelande har upptäckts i två Android-appar

Virusforskare har nyligen upptäckt Cerbers ransom-meddelande i källkoden hos två Android-applikationer – Accechiamoli och ForzaFò. Meddelandet finns i filen README.hta. Dessa applikationer kan laddas ner direkt från Google Play-butiken. Det kan verka oroväckande och skrämmande att utvecklarna av detta förödande virus har valt att utöka sitt spridningsområde. Men du kan vara lugn. Det har inte lanserats någon ny skadlig kampanj riktad mot Android-enheter. Därför påverkar viruset bara Windows OS-användare. På så vis behöver inte den italienska fotbollsklubben Foggia Calcios fans vara oroliga över risken att infekteras av detta ransomware.

Säkerhetsgruppen ESET skannade dessa två applikationer för att leta efter Cerber-komponenter. De hittade dock inget suspekt eller något som kan vara potentiellt farligt för Android-enheter. Skannern upptäckte endast filen README.hta, som innehåller Cerbers ransom-meddelande. Enligt ESET:s säkerhetsexpert Lukas Stefanko, är en av anledniningarna till varför denna fil har hamnat i dessa applikationer att utvecklaren Francesco Pio Recchia föll offer för Cerber. Under attacken planterar viruset ransom-meddelandet i varje mapp som innehåller krypterade filer. Så om utvecklaren missade att radera dessa filer, kan viruset ha blivit kvar i applikationens ikonmapp. Ett annat antagande är att utvecklaren av ikonerna som används i applikationerna kan ha varit offer för Cerber. På så sätt kan ransom-meddelandet ha råkat bli kvar i ikonmappen. Utvecklaren skannade inte mappen utan bara kopierade och klistrade in den och ransom-meddelandet följde med obemärkt. Men detta är ju bara spekulationer. Sanningen om vad som verkligen hände är fortfarande okänd.

Även om HTA-filer kan användas för att sprida filkrypteringsvirus, är fallet inte så här. README.hta-filen är inte skadlig och innehåller inte den kod som utlöser viruset. Säkerhetsprogram identifierar den som skadlig, men i själva verket kan den inte orsaka någon skada på enheten. Den innehåller bara information om datakrypteringen och uppmanar att man ska betala en lösensumma i Bitcoins för att få tillbaka filerna. Betalningen ska överföras till en särskild Cerber-betalsida, vilken endast kan nås via webbläsaren Tor. Vi vill dock påminna att man aldrig ska följa de nätkriminellas uppmaningar. Att betala lösensumman är ingen garanti för att man får tillbaka sina filer.