欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

ESET最近发现了一款新的Android勒索软件,它通过向受害者的手机的联系人列表发送恶意短信继续传播

来源:本站整理 作者:佚名 时间:2019-08-06 TAG: 我要投稿


最近ESET研究人员发现了一个新的Android勒索软件家族,它们试图通过向受害者的手机的联系人列表发送恶意短信继续传播。
在Android勒索软件遭遇两年的衰退之后,一个新的Android勒索软件家族又出现了。目前,该家族已经被ESET Mobile Security检测到,并被定义为Android / Filecoder.C。目前该勒索软件正在通过各种在线论坛进行传播。借助受害者的联系人列表,然后将带有恶意链接的短信进一步传播。由于目标范围狭窄,并且在执行过程中存在缺陷,这种新的勒索软件的攻击力还是有限的。但是,如果幕后的开发者开始定位更广泛的用户群,Android / Filecoder.C勒索软件可能会成为一个严重的威胁。
通过长期以来的跟踪,Android/Filecoder.C自2019年7月12日起一直处于活跃状态。在我们发现的活动中,Android / Filecoder.C已经通过Reddit上的恶意帖子和“XDA Developers”论坛(Android开发者论坛)进行了大量传播。不过很快,我们就向XDA Developers和Reddit报告了此恶意活动。截止发稿,XDA DEVELOPERS论坛上的帖子被迅速删除,不过目前恶意Reddit配置文件在发布时仍处于运行状态。
Android/Filecoder.C通过带有恶意链接的短信进一步传播,这些链接被发送给受害者联系人列表中的所有联系人。
在勒索软件发出这些恶意短信之后,它会加密设备上的大多数用户文件,并要求受害者支付赎金。
使用ESET Mobile Security的用户会收到有关恶意链接的警告,如果用户执意忽略警告并继续下载应用程序,安全解决方案将强行阻止恶意软件的运行。
恶意攻击的统计
我们发现的广告系列基于两个域(请参阅下面的IoC部分),由攻击者控制,其中包含用于下载的恶意Android文件。攻击者通过发布或评论Reddit(图1)或XDA DEVELOPERS(图2)来吸引潜在受害者点击这些域。
大多数情况下,帖子的主题与色情有关。除此之外,我们也看到了用技术主题作诱饵的帖子。在所有评论或帖子中,都包含指向恶意应用程序的链接或QR代码。

攻击者的Reddit配置文件,包含恶意帖子和评论


攻击者在XDA DEVELOPERS论坛上发布的一些恶意帖子
在Reddit上共享的一个链接中,攻击者使用了短网址bit.ly。经调查这个bit.ly URL是在2019年6月11日创建的,其统计数据如下图所示,截至撰写本文时,来自不同来源和国家的点击量已达到59次。

勒索软件活动期间在Reddit上共享的bit.ly链接的统计信息
传播过程
如前所述,Android/Filecoder.C勒索软件通过短信将链接传播到受害者联系人列表中的所有目录。
这些消息包括勒索软件的链接,为了增加潜在受害者的点击概率,这个链接被显示为一个应用程序的链接,且该应用程序可能使用潜在受害者的照片,如下图所示。
为了扩展其攻击范围,勒索软件有42种语言版本的消息模板,如图5所示。在发送消息之前,它选择适合受害者设备的语言设置的版本。为了个性化这些消息,恶意软件会将联系人的姓名添加到这些消息之前,以显得真实,增加迷惑性。

带有勒索软件链接的短信,如果发送设备将语言设置为英语,则发送此切换到英文

勒索软件中硬编码了42种语言版本
恶意功能
一旦潜在受害者收到带有恶意应用程序链接的短信,他们需要手动安装它。应用程序启动后,它将显示传播它的帖子中承诺的内容。通常,它是一个在线性爱模拟游戏。然而,其主要目的是C&C通信,传播恶意消息和实施加密或解密机制。
对于C&C通信,恶意软件的源代码中包含硬编码的C&C和比特币地址。但是,它也可以动态检索它们:攻击者可以使用免费的Pastebin服务随时更改它们。
Pastebin是一个便签类站点,用户可以在该平台任意储存纯文本,例如代码,文字等内容。Pastebin支持的编程语言种类也非常齐全,还会自动判断语言类型并高亮显示代码内容。除了直接在网页內操作外,Pastebin 最大的特色是提供了许多相关工具和应用,包括 Windows、Mac、UNIX、Firefox、Chrome、Opera、iPhone/iPad、Android、WinPhone 以及 WebOS 等等,让使用者随时随地都能夠存取使用。但从安全分析和威胁情报的角度来看,Pastebin却是一个信息收集的宝库。特别是那些上传到pastebin却未明确设置为private(需要一个账户)的内容,将会被所有人公开查阅。

勒索软件检索C&C地址的一组地址的示例
由于可以访问用户的联系人列表,勒索软件具有发送文本消息的能力。在加密文件之前,它使用上面描述的传播技术向每个受害者的联系人发送一条消息。

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载