在安卓勒索软件沉寂了两年之后,一个新的安卓勒索软件出现了。
总部位于斯洛伐克布拉迪斯拉发的网络安全公司ESET于近日透露,一种被他们检测为Android/Filecoder.C的新型安卓勒索软件正在通过一些在线论坛分发。
一旦感染成功,Android/Filecoder.C除了会加密设备上的大多数用户并展示勒索信息以外,还会把带有恶意链接(用于下载内嵌Android/Filecoder.C的恶意APP的链接)的短信群发给联系人列表中的每一个人,以实现自我传播。
勒索软件借助在线论坛分发ESET还表示,Android/Filecoder.C最早应该是出现在本月12日,相关的恶意帖子至少已经在美国知名社交新闻网站Reddit和XDA Developers论坛(一个安卓开发者论坛)上出现过。
ESET表示,攻击者主要采用了两种形式来分发Android/Filecoder.C:一种是发帖,另一种则是评论。大多数情况下,这些帖子或评论都与色情有关,旨在诱使受害者通过其中的链接或二维码下载内嵌Android/Filecoder.C的恶意APP。
图1. Reddit网站上的恶意帖子和评论示例
图2. XDA Developers论坛上的恶意帖子和评论示例
在Reddit网站上共享的一个链接中,攻击者使用短网址bit.ly。这个短网址是在6月11日创建的,截止到7月29日已经被点击了59次。
图3. 短网址bit.ly的点击次数统计
勒索软件借助短信实现自我传播如上所述,Android/Filecoder.C会把带有恶意链接(用于下载内嵌Android/Filecoder.C的恶意APP的链接)的短信群发给受感染设备联系人列表中的每一个人,以实现自我传播。
为了诱使潜在受害者点击链接并下载恶意APP,这些短信的内容通常都会这样写道“某某某,他们怎么能把你的照片放到这个APP上呢,我想我有必要告诉你一声。”
此外,为了最大化感染范围,攻击者共创建了42种不同语言版本的短信。
图4.带有恶意链接的短信示例
图5. 在勒索软件中硬编码的42种语言版本
Android/Filecoder.C技术分析从表面上看,恶意APP就如同攻击者在帖子中所描述的那样,是一款成人游戏。然而,其真正的目的是执行Android/Filecoder.C,然后加密文件以及展示勒索信息。
一旦恶意APP被安装并运行,Android/Filecoder.C就会与命令和控制(C&C)服务器建立通信。值得注意是,虽然Android/Filecoder.C包含有硬编码的C&C和比特币钱包地址,但C&C和比特币钱包地址也可以通过Pastebin服务获取,这就导致攻击者可以随时更改这些地址。
图6. Android/Filecoder.C从Pastebin服务获取的部分C&C地址示例
Android/Filecoder.C能够遍历受感染设备上的文件(系统文件除外),并对其中大部分进行加密,文件格式包括:
“.doc”, “.docx”, “.xls”, “.xlsx”, “.ppt”, “.pptx”, “.pst”, “.ost”, “.msg”, “.eml”, “.vsd”, “.vsdx”, “.txt”, “.csv”, “.rtf”, “.123”, “.wks”, “.wk1”, “.pdf”, “.dwg”, “.onetoc2”, “.snt”, “.jpeg”, “.jpg”, “.docb”, “.docm”, “.dot”, “.dotm”, “.dotx”, “.xlsm”, “.xlsb”, “.xlw”, “.xlt”, “.xlm”, “.xlc”, “.xltx”, “.xltm”, “.pptm”, “.pot”, “.pps”, “.ppsm”, “.ppsx”, “.ppam”, “.potx”, “.potm”, “.edb”, “.hwp”, “.602”, “.sxi”, “.sti”, “.sldx”, “.sldm”, “.sldm”, “.vdi”, “.vmdk”, “.vmx”, “.gpg”, “.aes”, “.ARC”, “.PAQ”, “.bz2”, “.tbk”, “.bak”, “.tar”, “.tgz”, “.gz”, “.7z”, “.rar”, “.zip”, “.backup”, “.iso”, “.vcd”, “.bmp”, “.png”, “.gif”, “.raw”, “.cgm”, “.tif”, “.tiff”, “.nef”, “.psd”, “.ai”, “.svg”, “.djvu”, “.m4u”, “.m3u”, “.mid”, “.wma”, “.flv”, “.3g2”, “.mkv”, “.3gp”, “.mp4”, “.mov”, “.avi”, “.asf”, “.mpeg”, “.vob”, “.mpg”, “.wmv”, “.fla”, “.swf”, “.wav”, “.mp3”, “.sh”, “.class”, “.jar”, “.java”, “.rb”, “.asp”, “.php”, “.jsp”, “.brd”, “.sch”, “.dch”, “.dip”, “.pl”, “.vb”, “.vbs”, “.ps1”, “.bat”, “.cmd”, “.js”, “.asm”, “.h”, “.pas”, “.cpp”, “.c”, “.cs”, “.suo”, “.sln”, “.ldf”, “.mdf”, “.ibd”, “.myi”, “.myd”, “.frm”, “.odb”, “.dbf”, “.db”, “.mdb”, “.accdb”, “.sql”, “.sqlitedb”, “.sqlite3”, “.asc”, “.lay6”, “.lay”, “.mml”, “.sxm”, “.otg”, “.odg”, “.uop”, “.std”, “.sxd”, “.otp”, “.odp”, “.wb2”, “.slk”, “.dif”, “.stc”, “.sxc”, “.ots”, “.ods”, “.3dm”, “.max”, “.3ds”, “.uot”, “.stw”, “.sxw”, “.ott”, “.odt”, “.pem”, “.p12”, “.csr”, “.crt”, “.key”, “.pfx”, “.der”
文件被加密后,将被附加一个“.seven”扩展名。
图7.被加密文件示例
加密完成之后,Android/Filecoder.C将展示勒索信息(如赎金金额、比特币钱包地址等)。
图8. Android/Filecoder.C展示的勒索信息
安全建议1.请一定要及时更新你的设备,最好将它们设置为“自动修复及更新”;
2.如果可能,请尽量坚持只在官方应用商店下载APP;
3.在下载任何APP之前,请查看它的评级和评论,尤其是注意差评都说了什么;
4.请一定要看清楚应用程序所请求的权限;
5.选择一款信誉良好的杀毒软件很有必要。
,