針對Android設(shè)備的新勒索軟件系列通過向包含已感染目標(biāo)的整個(gè)聯(lián)系人列表發(fā)送包含惡意鏈接的短信����,傳播給其他受害者。
ESET研究團(tuán)隊(duì)將惡意軟件稱為Android / Filecoder.C(FileCoder)�����,該團(tuán)隊(duì)發(fā)現(xiàn)它目前針對的是運(yùn)行Android 5.1或更高版本的設(shè)備����。
ESET的研究人員發(fā)現(xiàn),“由于廣告系列的執(zhí)行和加密實(shí)施的目標(biāo)明確和缺陷�,這種新的勒索軟件的影響是有限的����。”
“在勒索軟件發(fā)出這批惡意短信之后�,它會加密設(shè)備上的大多數(shù)用戶文件并請求勒索。由于加密有缺陷�����,可以在沒有攻擊者任何幫助的情況下解密受影響的文件,”ESET補(bǔ)充道���。
盡管如此,如果勒索軟件的開發(fā)人員設(shè)法修復(fù)他們的“產(chǎn)品”���,許多Android用戶可能會暴露于非常危險(xiǎn)且可能具有高度破壞性的惡意軟件中�����。
勒索軟件短信感染矢量
FileCoder在7月12日的一次活動中首次被ESET看到�,攻擊者通過在Reddit和XDA Developers移動軟件開發(fā)社區(qū)上發(fā)布的帖子分發(fā)他們的惡意負(fù)載���。
雖然XDA在收到通知后刪除了惡意帖子,但是在ESET惡意軟件研究員Lukas Stefanko 發(fā)布FileCoder惡意軟件分析時(shí)����,Reddit線程仍在運(yùn)行。
FileCoder的開發(fā)人員使用兩臺服務(wù)器來分發(fā)勒索軟件���,惡意有效負(fù)載從發(fā)送到受害者的整個(gè)聯(lián)系人列表的惡意短信以及Reddit和XDA的論壇帖子中鏈接�����。
勒索軟件樣本還借助QR碼鏈接�,這將使移動用戶更快地在其設(shè)備上獲取惡意APK并將其安裝在他們的設(shè)備上���。
作為誘使?jié)撛谑芎φ咴谄湓O(shè)備上安裝受感染的Android應(yīng)用程序的誘餌,F(xiàn)ileCoder的操作員會說該應(yīng)用程序“據(jù)稱使用潛在受害者的照片”��。
然而�����,Reddit和XDA論壇發(fā)布了“推廣”惡意應(yīng)用程序作為免費(fèi)的性模擬器在線游戲��,這也應(yīng)該降低潛在目標(biāo)的防范��,足以讓他們下載并安裝勒索軟件的應(yīng)用程序在他們的設(shè)備上�����。
正如BleepingComputer在分析FileCoder示例時(shí)發(fā)現(xiàn)的那樣����,當(dāng)安裝在受害者的Android設(shè)備上時(shí),惡意軟件將請求以下權(quán)限:
android.permission.SET_WALLPAPERandroid.permission.WRITE_EXTERNAL_STORAGEandroid.permission.READ_EXTERNAL_STORAGEandroid.permission.READ_CONTACTSandroid.permission.RECEIVE_BOOT_COMPLETEDandroid.permission.SEND_SMSandroid.permission.INTERNET
“為了最大限度地?cái)U(kuò)大其覆蓋范圍�,勒索軟件具有42種語言版本的消息模板[...]。在發(fā)送消息之前�,它選擇適合受害者設(shè)備語言設(shè)置的版本。為了個(gè)性化這些消息�,惡意軟件會預(yù)先設(shè)置聯(lián)系人的給他們起個(gè)名字����,“ESET找到了。
FileCoder勒索軟件向其受害者詢問比特幣勒索軟件��,其中比特幣地址和命令與控制(C2)服務(wù)器在惡意軟件的源代碼中被硬編碼���,但可以選擇通過Pastebin服務(wù)發(fā)送新地址����。
FileCoder將通過SMS傳播到受害者的聯(lián)系人列表����,然后開始加密設(shè)備存儲上可以訪問的所有文件夾上的文件���,將.seven擴(kuò)展名附加到原始文件名 - 系統(tǒng)文件將被跳過��。
“如果文件擴(kuò)展名是”.zip“或”.rar“�,文件大小超過51,200 KB / 50 MB,”�����。jpeg“���,”.jpg“和”.png“文件�����,勒索軟件也會保留未加密的文件文件大小小于150 KB,“添加ESET�。
惡意軟件將加密奇怪的Android特定文件類型組合以及不相關(guān)文檔類型的奇怪組合��,ESET研究團(tuán)隊(duì)得出結(jié)論:“該列表已經(jīng)從臭名昭著的WannaCryptor aka WannaCry勒索軟件中復(fù)制而來”�����。
FileCoder C2服務(wù)器仍處于活動狀態(tài)
在所有文件被惡意軟件鎖定后��,它將顯示贖金票據(jù)�,詳細(xì)說明加密文件的數(shù)量以及受害者必須支付解密密鑰成本的時(shí)間 - 贖金金額介于94美元和188美元之間�����。
雖然贖金說明如果三天內(nèi)未支付贖金,數(shù)據(jù)將會丟失�����,“勒索軟件的代碼中沒有任何內(nèi)容可以支持72小時(shí)后受影響的數(shù)據(jù)將丟失的說法����。”
與大多數(shù)其他Android勒索軟件不同�,F(xiàn)ileCoder不會鎖定受害者的屏幕并允許他們繼續(xù)使用他們的設(shè)備,這取決于其目標(biāo)是否希望盡快解密他們的文件�。
FileCoder使用新的AES密鑰為其鎖定的每個(gè)文件加密文件,使用一對公鑰和私鑰���,后者在RSA算法的幫助下加密。
但是��,由于勒索軟件的開發(fā)人員已經(jīng)硬編碼了惡意軟件代碼中用于加密私鑰的值�,受害者可以在不支付贖金的情況下解密他們的數(shù)據(jù)。
“所需要的只是勒索軟件提供的UserID [..],以及勒索軟件的APK文件�,以防其作者更改硬編碼的密鑰值,”ESET研究人員發(fā)現(xiàn)�。
在發(fā)布這個(gè)故事時(shí)��,F(xiàn)ileCoder作者使用的服務(wù)器仍然在線���,贖金支付驗(yàn)證頁面也可以通過惡意軟件C2服務(wù)器上托管的文件之一獲得����。
有關(guān)Android / Filecoder.C勒索軟件內(nèi)部工作的更多詳細(xì)信息����,以及包括惡意軟件樣本哈希(包括廣告系列中使用的比特幣地址)的妥協(xié)指標(biāo)(IOC)列表,可在Stefanko的Filecoder惡意軟件分析結(jié)束時(shí)獲得����。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價(jià)
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
