通常,勒索软件在锁定您的计算机或电话或对其数据进行加密后会要求金钱或加密货币。但是,Quick Heal 安全 Labs发现了一个Android勒索软件,该软件在锁定受感染的设备后要求iTunes礼品卡。这些礼品卡可以在拍卖网站,社交媒体或黑网上出售。
感染载体
如果您在第三方应用商店上下载了恶意应用(名称为“ Porn Hub”),或者通过电子传输媒介(蓝牙,电子邮件,文件共享网站,等等。)
Porn Hub应用勒索软件分析
AppName:色情中心
套件名称:com.pornhub_tools
MD5:9fadc90562ce6e275eb6db8e6ca6ddad
大小:39KB
勒索软件将您的设备锁定后,它会显示一条勒索便条,要求勒索一张价值200美元的iTunes礼品卡,作为观看儿童色情制品的惩罚。 URL显示在赎金记录中(图1)。如果您的设备连接到Internet,则会发生这种情况。
如果您的设备未连接到Internet,则赎金记录会显示另一条消息。在此文件中,它说您的所有文件都已加密,并且您必须支付价值100美元的比特币赎金才能解锁设备并解密数据(图2)。
但是,在我们的分析中,我们没有发现受感染的设备数据被该勒索软件加密的实例。此外,恶意应用程序(“色情中心”)没有任何加密代码。这意味着您可以通过将设备连接到PC来检索您的个人信息。
技术 分析
当我们尝试打开恶意应用程序时,它要求我们激活设备管理员权限。我们选择了“取消”,但该应用一直重复相同的活动,直到我们选择了“激活”选项。
激活后,该应用会检查设备是否已连接到Internet。设备在线时,应用程序收集了设备数据,例如设备ID和sim运算符。此数据已发送到某个URL(HTTP://*******.w*n//private/tuk_tuk.php),该URL加载需要iTunes礼品卡的网页(图1)。当设备离线时,该应用程序加载了一个要求提供比特币的HTML页面(图2)。
此处,URL和HTML页面内容是使用Base64加密的。如图4所示,对Base64编码的字符串进行了解码。
分析伪造的Dropbox应用勒索软件
AppName:Dropbox
套件名称:com.example.testlock
MD5:17bc088027d2f3f71a74beed3a9c715
大小:415KB
Quick Heal 安全 Labs发现另一个恶意应用程序隐藏了勒索软件,该勒索软件需要iTunes礼品卡作为赎金。此应用程序使用Dropbox(著名的文件托管服务)图标。当我们打开该应用程序时,它要求我们激活设备管理员权限(图6),就像我们之前讨论的应用程序一样。
一旦激活,勒索软件就会显示勒索记录,声称该设备已被联邦调查局(FBI)锁定,作为观看儿童色情制品的惩罚。要解锁设备,必须在72小时内支付价值25美元的iTunes礼品卡(图7)。
赎金通知书要求用户输入所需价值的iTunes礼品卡代码。如果用户输入了错误的密码,则会显示一条消息,提示用户现在仅进行两次尝试,此后设备将被永久锁定(图8)。
但是,在我们的分析中,我们发现该警告是虚假的,仅显示出威胁用户支付赎金的事实。
序列检测
序列成功将这两种勒索软件检测为 Android.Locker.Aa54f 和 Android.Locker.Aa550 .
强烈建议您不要支付任何赎金,因为即使您支付了赎金,也无法保证您将取回文件或将设备解锁。
如何防范Android勒索软件
- 在下载任何应用程序(甚至从Google Play)之前,请验证其来源。检查开发者的网站并在应用程序上进行评论。
- 避免从第三方应用程序商店下载应用程序。在这些商店中可以找到大多数受恶意软件感染的应用程序。仅从官方应用商店(例如Google Play)下载应用。
- 始终禁用“未知来源”。启用此选项将允许安装来自未知来源(第三方)的应用程序。在您的设备上,转到 设定值 > 安全 > check for 来源不明> 禁用它
- 安装可靠的 移动安全应用 在您的手机上可以阻止假冒,可疑和有害的应用程序。
主题专家
Rupali Parate |快速修复安全实验室
没意见