ESET最近发现了一款新的Android勒索软件,它通过向受害者的手机的联系人列表发送恶意短信继续传播

本文主要是介绍ESET最近发现了一款新的Android勒索软件,它通过向受害者的手机的联系人列表发送恶意短信继续传播,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

ESET最近发现了一款新的Android勒索软件,它通过向受害者的手机的联系人列表发送恶意短信继续传播

最近ESET研究人员发现了一个新的Android勒索软件家族,它们试图通过向受害者的手机的联系人列表发送恶意短信继续传播。

在Android勒索软件遭遇两年的衰退之后,一个新的Android勒索软件家族又出现了。目前,该家族已经被ESET Mobile Security检测到,并被定义为Android / Filecoder.C。目前该勒索软件正在通过各种在线论坛进行传播。借助受害者的联系人列表,然后将带有恶意链接的短信进一步传播。由于目标范围狭窄,并且在执行过程中存在缺陷,这种新的勒索软件的攻击力还是有限的。但是,如果幕后的开发者开始定位更广泛的用户群,Android / Filecoder.C勒索软件可能会成为一个严重的威胁。PHP大马

通过长期以来的跟踪,Android/Filecoder.C自2019年7月12日起一直处于活跃状态。在我们发现的活动中,Android / Filecoder.C已经通过Reddit上的恶意帖子和“XDA Developers”论坛(Android开发者论坛)进行了大量传播。不过很快,我们就向XDA Developers和Reddit报告了此恶意活动。截止发稿,XDA DEVELOPERS论坛上的帖子被迅速删除,不过目前恶意Reddit配置文件在发布时仍处于运行状态。

Android/Filecoder.C通过带有恶意链接的短信进一步传播,这些链接被发送给受害者联系人列表中的所有联系人。

在勒索软件发出这些恶意短信之后,它会加密设备上的大多数用户文件,并要求受害者支付赎金。

使用ESET Mobile Security的用户会收到有关恶意链接的警告,如果用户执意忽略警告并继续下载应用程序,安全解决方案将强行阻止恶意软件的运行。

恶意攻击的统计

我们发现的广告系列基于两个域(请参阅下面的IoC部分),由攻击者控制,其中包含用于下载的恶意Android文件。攻击者通过发布或评论Reddit(图1)或XDA DEVELOPERS(图2)来吸引潜在受害者点击这些域。

大多数情况下,帖子的主题与色情有关。除此之外,我们也看到了用技术主题作诱饵的帖子。在所有评论或帖子中,都包含指向恶意应用程序的链接或QR代码。

ESET最近发现了一款新的Android勒索软件,它通过向受害者的手机的联系人列表发送恶意短信继续传播

攻击者的Reddit配置文件,包含恶意帖子和评论

ESET最近发现了一款新的Android勒索软件,它通过向受害者的手机的联系人列表发送恶意短信继续传播

ESET最近发现了一款新的Android勒索软件,它通过向受害者的手机的联系人列表发送恶意短信继续传播

攻击者在XDA DEVELOPERS论坛上发布的一些恶意帖子

在Reddit上共享的一个链接中,攻击者使用了短网址bit.ly。经调查这个bit.ly URL是在2019年6月11日创建的,其统计数据如下图所示,截至撰写本文时,来自不同来源和国家的点击量已达到59次。

ESET最近发现了一款新的Android勒索软件,它通过向受害者的手机的联系人列表发送恶意短信继续传播

勒索软件活动期间在Reddit上共享的bit.ly链接的统计信息

传播过程

如前所述,Android/Filecoder.C勒索软件通过短信将链接传播到受害者联系人列表中的所有目录。

这些消息包括勒索软件的链接,为了增加潜在受害者的点击概率,这个链接被显示为一个应用程序的链接,且该应用程序可能使用潜在受害者的照片,如下图所示。天天好彩

为了扩展其攻击范围,勒索软件有42种语言版本的消息模板,如图5所示。在发送消息之前,它选择适合受害者设备的语言设置的版本。为了个性化这些消息,恶意软件会将联系人的姓名添加到这些消息之前,以显得真实,增加迷惑性。

ESET最近发现了一款新的Android勒索软件,它通过向受害者的手机的联系人列表发送恶意短信继续传播

带有勒索软件链接的短信,如果发送设备将语言设置为英语,则发送此切换到英文

ESET最近发现了一款新的Android勒索软件,它通过向受害者的手机的联系人列表发送恶意短信继续传播

勒索软件中硬编码了42种语言版本

恶意功能

一旦潜在受害者收到带有恶意应用程序链接的短信,他们需要手动安装它。应用程序启动后,它将显示传播它的帖子中承诺的内容。通常,它是一个在线性爱模拟游戏。然而,其主要目的是C&C通信,传播恶意消息和实施加密或解密机制。

对于C&C通信,恶意软件的源代码中包含硬编码的C&C和比特币地址。但是,它也可以动态检索它们:攻击者可以使用免费的Pastebin服务随时更改它们。

Pastebin是一个便签类站点,用户可以在该平台任意储存纯文本,例如代码,文字等内容。Pastebin支持的编程语言种类也非常齐全,还会自动判断语言类型并高亮显示代码内容。除了直接在网页內操作外,Pastebin 最大的特色是提供了许多相关工具和应用,包括 Windows、Mac、UNIX、Firefox、Chrome、Opera、iPhone/iPad、Android、WinPhone 以及 WebOS 等等,让使用者随时随地都能夠存取使用。但从安全分析和威胁情报的角度来看,Pastebin却是一个信息收集的宝库。特别是那些上传到pastebin却未明确设置为private(需要一个账户)的内容,将会被所有人公开查阅。

ESET最近发现了一款新的Android勒索软件,它通过向受害者的手机的联系人列表发送恶意短信继续传播

勒索软件检索C&C地址的一组地址的示例

由于可以访问用户的联系人列表,勒索软件具有发送文本消息的能力。在加密文件之前,它使用上面描述的传播技术向每个受害者的联系人发送一条消息。

接下来,勒索软件会遍历可访问存储上的文件(即除了系统文件所在位置外的所有设备存储部分) ,并对其中大部分进行加密(具体解释,请参阅下面的“文件加密机制”一节)。文件加密后,勒索软件会显示其勒索信息(英文),如下图示。

ESET最近发现了一款新的Android勒索软件,它通过向受害者的手机的联系人列表发送恶意短信继续传播

Android/Filecoder.C显示的勒索信息

不过,正如赎金说明中所述,如果受害者删除了这个应用程序,则勒索软件将无法解密文件。此外,根据我们的分析,勒索软件的代码中没有任何内容支持声称受影响的数据将在72小时后丢失。

如下图所示,请求的赎金部分是动态变化的。将要请求的比特币数量的第一部分是硬编码的,值为0.01,而剩余的六位数是恶意软件生成的用户ID。

这种独特的做法可能有助于识别收到的赎金金额,因为在Android勒索软件中,这通常是通过为每个加密设备生成一个单独的比特币钱包来实现的。根据最近每比特币的价格,赎金将落在94-188美元之间(假设唯一ID是随机生成的)。

ESET最近发现了一款新的Android勒索软件,它通过向受害者的手机的联系人列表发送恶意短信继续传播

恶意软件如何计算赎金

与典型的Android勒索软件不同,Android / Filecoder.C不会通过锁定屏幕来阻止设备的使用。

如下图所示,在撰写本文时,所提到的比特币地址可以动态改变,但在我们看到的所有样本中,地址都是不变的,没有记录任何交易。

ESET最近发现了一款新的Android勒索软件,它通过向受害者的手机的联系人列表发送恶意短信继续传播

攻击者使用的比特币地址

文件加密机制

勒索软件使用的是非对称和对称加密,首先,它会生成一个公钥和私钥对。此私钥使用RSA算法加密,其中硬编码的公钥存储在代码中并发送到攻击者的服务器。攻击者可以解密该私钥,并在受害者支付赎金后,将该私钥发送给受害者以解密他们被加密的文件。

加密文件时,勒索软件会为每个要加密的文件生成一个新的AES密钥。然后使用公钥对此AES密钥进行加密,并将其添加到每个加密文件中,从而生成以下模式: ( (AES)public_key + (File)AES ).seven。

文件结构如下图所示:

ESET最近发现了一款新的Android勒索软件,它通过向受害者的手机的联系人列表发送恶意短信继续传播

加密文件结构概述

勒索软件通过访问可访问的存储目录来加密以下文件类型:

“.doc”, “.docx”, “.xls”, “.xlsx”, “.ppt”, “.pptx”, “.pst”, “.ost”, “.msg”, “.eml”, “.vsd”, “.vsdx”, “.txt”, “.csv”, “.rtf”, “.123”, “.wks”, “.wk1”, “.pdf”, “.dwg”, “.onetoc2”, “.snt”, “.jpeg”, “.jpg”, “.docb”, “.docm”, “.dot”, “.dotm”, “.dotx”, “.xlsm”, “.xlsb”, “.xlw”, “.xlt”, “.xlm”, “.xlc”, “.xltx”, “.xltm”, “.pptm”, “.pot”, “.pps”, “.ppsm”, “.ppsx”, “.ppam”, “.potx”, “.potm”, “.edb”, “.hwp”, “.602”, “.sxi”, “.sti”, “.sldx”, “.sldm”, “.sldm”, “.vdi”, “.vmdk”, “.vmx”, “.gpg”, “.aes”, “.ARC”, “.PAQ”, “.bz2”, “.tbk”, “.bak”, “.tar”, “.tgz”, “.gz”, “.7z”, “.rar”, “.zip”, “.backup”, “.iso”, “.vcd”, “.bmp”, “.png”, “.gif”, “.raw”, “.cgm”, “.tif”, “.tiff”, “.nef”, “.psd”, “.ai”, “.svg”, “.djvu”, “.m4u”, “.m3u”, “.mid”, “.wma”, “.flv”, “.3g2”, “.mkv”, “.3gp”, “.mp4”, “.mov”, “.avi”, “.asf”, “.mpeg”, “.vob”, “.mpg”, “.wmv”, “.fla”, “.swf”, “.wav”, “.mp3”, “.sh”, “.class”, “.jar”, “.java”, “.rb”, “.asp”, “.php”, “.jsp”, “.brd”, “.sch”, “.dch”, “.dip”, “.pl”, “.vb”, “.vbs”, “.ps1”, “.bat”, “.cmd”, “.js”, “.asm”, “.h”, “.pas”, “.cpp”, “.c”, “.cs”, “.suo”, “.sln”, “.ldf”, “.mdf”, “.ibd”, “.myi”, “.myd”, “.frm”, “.odb”, “.dbf”, “.db”, “.mdb”, “.accdb”, “.sql”, “.sqlitedb”, “.sqlite3”, “.asc”, “.lay6”, “.lay”, “.mml”, “.sxm”, “.otg”, “.odg”, “.uop”, “.std”, “.sxd”, “.otp”, “.odp”, “.wb2”, “.slk”, “.dif”, “.stc”, “.sxc”, “.ots”, “.ods”, “.3dm”, “.max”, “.3ds”, “.uot”, “.stw”, “.sxw”, “.ott”, “.odt”, “.pem”, “.p12”, “.csr”, “.crt”, “.key”, “.pfx”, “.der”

但是,它不会加密包含字符串“.cache”,“tmp”或“temp”的目录中的文件。

如果文件扩展名为“.zip”或“.rar”且文件大小超过51200 KB 或者50 MB,勒索软件也不加密这些文件。另外小于150 KB的 “.jpeg”,“.jpg”和“.png”文件也不会成为加密对象。

文件类型列表包含一些与Android无关的目录,同时缺少一些典型的Android扩展,如.apk、.dex等。显然,该列表是从臭名昭着的WannaCry勒索软件中复制而来的。

文件加密后,文件扩展名“.seven”将附加到原始文件名后,如下图所示。

ESET最近发现了一款新的Android勒索软件,它通过向受害者的手机的联系人列表发送恶意短信继续传播

扩展名为“.seven”的加密文件

解密机制

用于解密加密文件的代码其实就存在于勒索软件中,如果受害者支付赎金,勒索软件操作员则可以通过下图中所示的网站进行验证,并发送私钥解密文件。

ESET最近发现了一款新的Android勒索软件,它通过向受害者的手机的联系人列表发送恶意短信继续传播

赎金支付验证网页

缓解措施

1.让你的设备及时更新,最好将它们设置为自动修补和更新,这样你能随时受到最新的保护。

2.如果可能,请使用Google Play或其他信誉良好的应用商店,下载应用。

3.在安装任何应用程序之前,请检查其评级和评论。多看看负面评价的消息,因为它们通常4.来自合法用户,而积极的反馈往往是由攻击者制定的。

5.留意应用程序请求的权限,如果它们与应用程序匹配的功能不符,请不要下载应用程序。

攻击指标(IoC)

ESET最近发现了一款新的Android勒索软件,它通过向受害者的手机的联系人列表发送恶意短信继续传播

ESET最近发现了一款新的Android勒索软件,它通过向受害者的手机的联系人列表发送恶意短信继续传播

这篇关于ESET最近发现了一款新的Android勒索软件,它通过向受害者的手机的联系人列表发送恶意短信继续传播的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/779058

相关文章

Java中Springboot集成Kafka实现消息发送和接收功能

《Java中Springboot集成Kafka实现消息发送和接收功能》Kafka是一个高吞吐量的分布式发布-订阅消息系统,主要用于处理大规模数据流,它由生产者、消费者、主题、分区和代理等组件构成,Ka... 目录一、Kafka 简介二、Kafka 功能三、POM依赖四、配置文件五、生产者六、消费者一、Kaf

Python手搓邮件发送客户端

《Python手搓邮件发送客户端》这篇文章主要为大家详细介绍了如何使用Python手搓邮件发送客户端,支持发送邮件,附件,定时发送以及个性化邮件正文,感兴趣的可以了解下... 目录1. 简介2.主要功能2.1.邮件发送功能2.2.个性签名功能2.3.定时发送功能2. 4.附件管理2.5.配置加载功能2.6.

Python实现将实体类列表数据导出到Excel文件

《Python实现将实体类列表数据导出到Excel文件》在数据处理和报告生成中,将实体类的列表数据导出到Excel文件是一项常见任务,Python提供了多种库来实现这一目标,下面就来跟随小编一起学习一... 目录一、环境准备二、定义实体类三、创建实体类列表四、将实体类列表转换为DataFrame五、导出Da

解决Cron定时任务中Pytest脚本无法发送邮件的问题

《解决Cron定时任务中Pytest脚本无法发送邮件的问题》文章探讨解决在Cron定时任务中运行Pytest脚本时邮件发送失败的问题,先优化环境变量,再检查Pytest邮件配置,接着配置文件确保SMT... 目录引言1. 环境变量优化:确保Cron任务可以正确执行解决方案:1.1. 创建一个脚本1.2. 修

Android数据库Room的实际使用过程总结

《Android数据库Room的实际使用过程总结》这篇文章主要给大家介绍了关于Android数据库Room的实际使用过程,详细介绍了如何创建实体类、数据访问对象(DAO)和数据库抽象类,需要的朋友可以... 目录前言一、Room的基本使用1.项目配置2.创建实体类(Entity)3.创建数据访问对象(DAO

你的华为手机升级了吗? 鸿蒙NEXT多连推5.0.123版本变化颇多

《你的华为手机升级了吗?鸿蒙NEXT多连推5.0.123版本变化颇多》现在的手机系统更新可不仅仅是修修补补那么简单了,华为手机的鸿蒙系统最近可是动作频频,给用户们带来了不少惊喜... 为了让用户的使用体验变得很好,华为手机不仅发布了一系列给力的新机,还在操作系统方面进行了疯狂的发力。尤其是近期,不仅鸿蒙O

Ubuntu 怎么启用 Universe 和 Multiverse 软件源?

《Ubuntu怎么启用Universe和Multiverse软件源?》在Ubuntu中,软件源是用于获取和安装软件的服务器,通过设置和管理软件源,您可以确保系统能够从可靠的来源获取最新的软件... Ubuntu 是一款广受认可且声誉良好的开源操作系统,允许用户通过其庞大的软件包来定制和增强计算体验。这些软件

Python中列表的高级索引技巧分享

《Python中列表的高级索引技巧分享》列表是Python中最常用的数据结构之一,它允许你存储多个元素,并且可以通过索引来访问这些元素,本文将带你深入了解Python列表的高级索引技巧,希望对... 目录1.基本索引2.切片3.负数索引切片4.步长5.多维列表6.列表解析7.切片赋值8.删除元素9.反转列表

Django中使用SMTP实现邮件发送功能

《Django中使用SMTP实现邮件发送功能》在Django中使用SMTP发送邮件是一个常见的需求,通常用于发送用户注册确认邮件、密码重置邮件等,下面我们来看看如何在Django中配置S... 目录1. 配置 Django 项目以使用 SMTP2. 创建 Django 应用3. 添加应用到项目设置4. 创建

Android WebView的加载超时处理方案

《AndroidWebView的加载超时处理方案》在Android开发中,WebView是一个常用的组件,用于在应用中嵌入网页,然而,当网络状况不佳或页面加载过慢时,用户可能会遇到加载超时的问题,本... 目录引言一、WebView加载超时的原因二、加载超时处理方案1. 使用Handler和Timer进行超