WannaLocker, si ispira a WannaCry ma agisce su Android

Nel 1998 inizia la sua esperienza nel mondo IT in Mondadori e partecipa alla nascita di Web Marketing Tools di cui coordina la redazione. Redattore esperto di software per PC Magazine, e caporedattore di ComputerIdea, segue da circa 20 anni l'evoluzione del mondo hardware, software e dei servizi IT in un confronto continuo con le aziende leader del settore

WannaLocker è un ransomware sviluppato per i dispositivi Android sulla base di WannaCry. E’ in grado, per il momento, di criptare i dati solo delle memorie esterne

Ne avevamo parlato durante i giorni di WannaCry e quelli successivi in cui i vendor tiravano i primi bilanci. Puntuale ecco che è arrivato WannaLocker, sviluppato sulla base di una copia di WannaCry e pensato per attaccare inizialmente gli utenti Android cinesi, ma crittografando solo le memorie esterne, una caratteristica che non si vedeva, secondo gli esperti Avast Software da Simplocker del 2014.

WannaLocker si è diffuso sui forum dei gamer cinesi, simulando di essere un plugin per il gioco popolare King of Glory, così si è propagato. Non quindi come software di Google Play Store, prima nasconde la sua icona dal drawer, così da mettere in difficoltà l’utente che lo volesse rimuovere, poi cambia lo sfondo dello smartphone con un’immagine sua e inizia l’operazione di encrypting dei file sfruttando la tecnologia AES, ma con un certo criterio selettivo, per cui non vengono criptati quelli che iniziano con il “.”, quelli che hanno il nome che include DCIM o altri lemmi come “android” nel path o che sono più piccoli di 10 Kbyte. Il ransomware così architettato richiede in valuta cinese l’equivalente di circa 5/6 dollari (non è richiesto il riscatto in una cryptocurrency) e lascia un’estensione di file univoca.

WannaLocker imita la schermata di WannaCry
WannaLocker imita la schermata di WannaCry

Si possono fare alcune riflessioni. La prima è che evidentemente siamo ancora agli “albori” della sperimentazione in questo senso. Lo dimostrano per esempio la decisione di farsi pagare in valuta corrente anche con canali tradizionali come Alipay, QQ, WeChat (tutti molto diffusi in Cina), ma anche il vettore scelto, il plugin di un gioco – per quanto diffuso – che molto probabilmente non troverebbe seguito in altri mercati. E’ vero però che l’affacciarsi di WannaLocker potenzialmente apre a scenari davvero preoccupanti.

Fino ad oggi infatti, nonostante la buona volontà dei vendor, non è fiorito il mercato dei software di protezione. Anche per la ‘percezione’ poco diffusa sui rischi reali. A nostro avviso il mercato antivirus per smartphone non è fiorito anche perché l’esperienza di protezione di questi software su pc ha già dimostrato di potere poco o nulla contro le imprudenze degli utenti e si sono rivelati ampiamente impotenti anche a danno fatto. 

Attualmente non esiste alcun software in grado di ripristinare i file crittografati con WannaLocker.

WHITE PAPER: Sei interessato ad approfondire l’argomento?  Scarica il whitepaper “Affrontare le minacce dall’interno: ripensare l’implementazione della protezione delle reti”