新Android勒索軟件曝光:偽裝成技術貼內容誘導用戶下載安裝
安全研究人員發現一隻新型勒索軟件,專找Android用戶下手,透過短信感染手機通訊錄中的聯絡人。安全廠商ESET研究人員Lukas Stefanko 7月中發現這款名為Android/Filecoder.C的新型勒索軟件,出現在Reddit和Android開發者論壇XDA Developer上,再透過受害者手機大量散佈。
一開始,駭客在前述二個網站張貼色情或技術主題的內容連結、QR code或短網址,引誘使用者連到兩個由攻擊者控制的網域以下載惡意程式。一旦下載到Android 手機上,Filecoder.C就會加密手機上大部份的用戶檔案要求贖金,同時發送大宗簡訊將惡意連結給受害者手機內的聯絡人資料,以便進一步散佈。
這些簡訊訊息十分逼真,例如其中一則附上一幀以某用戶相片加工的相片,使接到簡訊的人誤以照片被移花接木用於色情圖片上而急忙點入連結。研究人員分析從6月到7月,已有59個人被bit.ly短網址騙入這個惡意網站。且為了擴大感染,Filecoder.C還有42種語言版本的訊息樣板。在傳送訊息出去給友人會選擇和裝置設定相同的語言,同時還會在信件開頭加上聯絡人姓名,使信件更客制化。
當不知情的友人接到簡訊並且點入連結後,會被導向一個惡意app,受害者必須手動安裝。一旦app開啟後就會如實顯示被加工的色情照片。這其實是一個色情模擬線上游戲的成品。但其實惡意的還在後頭:這個過程主要下載Filecoder.C,它有多項能力,其中即搜尋用戶通訊錄大量寄發前述的簡訊。
不過它主要目的是建立C&C連線,並找到裝置磁碟空間,將幾乎所有檔案全部加密,然後勒索價值94到188美金的比特幣。但係統檔案、.zip、.rar、小於150KB的.jpeg/.jpg/.png檔,以及大於50MB的檔案則不會加密。使用者或許能移除該app,但是卻無法解密。
研究人員一度以為Filecoder.C程式碼中包含寫死的金鑰,第三方高手可能解密檔案,因此影響有限。但是研究人員周二修正說法,指出這個金鑰是破解難度極高的RSA-1024公鑰。這表示感染後,想不付錢救回檔案幾乎不可能。