手機勒索行業添新成員:黑玫瑰露西(Black Rose Lucy)

紅數位發表於2020-04-29

目前,手機勒索事件鮮有耳聞,但是研究人員說,移動惡意軟體事件正變得越來越普遍,並且變得越來越複雜。


基於Android的滴管惡意軟體Black Rose Lucy背後的網路罪犯已經將攻擊從資訊竊取轉變為勒索軟體。


手機勒索行業添新成員:黑玫瑰露西(Black Rose Lucy)


由露西·岡(Lucy Gang)操作的惡意軟體家族,可以對目標Android裝置進行加密,併傳送欺騙性的FBI訊息。贖金記錄稱,手機使用者訪問了手機上的“禁止色情網站”,並且面部的“快照”已上載到代理商。根據Check Point安全研究人員的說法,支付500美元即可解決問題。


俄語威脅演員於2018年被Check Point首次確定。當時,露西·岡(Lucy Gang)將其產品作為一種惡意軟體即服務進行了推廣,可以收集受害者的裝置資料,收聽遠端命令與控制(C2)伺服器並安裝從C2伺服器傳送的其他惡意軟體。


研究人員表示,透過其最近的勒索軟體活動,他們已經發現了80多個與Lucy相關的惡意軟體樣本,並在野外發現了一種新的活躍Lucy變體。研究人員說,該惡意軟體的分發是基於社會的,誘使目標物件下載被露西吸管誘騙誘騙的影片播放器。


“我們發現,所獲取的樣本偽裝成看上去無害的影片播放器應用程式,主要是利用Android的輔助功能服務來安裝有效負載,而無需任何使用者互動,並建立了一種有趣的自我保護機制,” Check Point的合著者寫道。報告 Ohad Mana,Aviran Hazum,Bogdan Melnykov和Liav Kuperman。


要推送其惡意影片播放器的下載,受害者會在惡意軟體分發網站上收到一條訊息,內容為:“要繼續在手機上觀看影片,您必須啟用流影片最佳化(SVO),在選單中選擇它並開啟它!”

手機勒索行業添新成員:黑玫瑰露西(Black Rose Lucy)

黑玫瑰露西勒索軟體


透過單擊“確定”,使用者將授予惡意軟體許可,以使用Android Accessibility Service安裝Android惡意軟體負載,而無需任何使用者互動。


“惡意軟體首先註冊一個名為'uyqtecppxr'的接收器以執行BOOT_COMPLETE和QUICKBOOT_POWERON來檢查裝置的國家/地區程式碼是否來自前蘇聯國家。然後,露西試圖透過啟動一個警告對話方塊要求使用者採取行動來誘騙受害者啟用無障礙服務。”研究人員解釋說。


“在MainActivity模組內部,應用程式觸發了惡意服務,該服務隨後註冊了一個由action.SCREEN_ON命令呼叫的BroadcastReceiver,然後對其進行自我呼叫。他們說,這用於獲取“ WakeLock”服務和“ WifiLock”服務,該服務可以使裝置的螢幕保持開啟狀態。


Google專門設計了Android Accessibility Services,以允許殘疾使用者模仿使用者的螢幕點選,並可以自動進行使用者與裝置的互動。研究人員說:“對於露西,[Android無障礙服務]是Android防禦裝甲中的致命弱點。”


Lucy攻擊策略的另一項更新是Black Rose Lucy惡意軟體強化了其C2伺服器。根據Check Point的說法,威脅參與者現在使用的是域,而不是IP地址。研究人員指出:“儘管伺服器可以拆除,但可以輕鬆地將其解析為新的IP地址,這使得消除惡意軟體的難度變得更大。”


加密過程首先包括惡意軟體嘗試獲取受害者的裝置目錄。“最初,[Lucy]嘗試獲取裝置所有目錄的陣列。如果發生故障,它將嘗試獲取目錄/ storage。作為最後的手段,它試圖獲取/ sdcard目錄。”研究人員解釋說。


研究人員說,一旦惡意軟體完成了對裝置檔案的加密(副檔名為.Lucy)並執行了檢查以驗證檔案是否已加密,它就會在瀏覽器視窗中顯示贖金記錄(請參閱下文,以讀取整個假FBI贖金訊息)。。


根據Check Point對惡意軟體的分析,它認為:“解密過程完成後,惡意軟體會傳送日誌以通知所有檔案都已成功解密。然後,惡意軟體將當前命令更改為“刪除”,並繼續刪除自身。”


研究人員說,移動惡意軟體事件正變得越來越普遍,並且變得越來越複雜。他們說,黑玫瑰露西就是一個例子,代表了移動惡意軟體發展的“重要里程碑”。


研究人員說:“遲早,移動世界將遭受重大的破壞性勒索軟體攻擊。”

手機勒索行業添新成員:黑玫瑰露西(Black Rose Lucy)


共建網路安全命運共同體



相關文章