Musta ruusu Lucy Back-Ransomware AndroidOS

Lukuaika: 3 pöytäkirjaYleiskatsaus

Yksi ensimmäisistä kerroista, kun yleisö koki ensi käden, ymmärsi lunnasohjelman voiman, kun WannaCry puhkesi vuonna 2017. Hallitus, koulutus, sairaalat, energia, viestintä, valmistus ja monet muut keskeiset tietoinfrastruktuurisektorit kärsivät ennennäkemättömistä tappioista. , koska siitä lähtien on ollut monia versioita, kuten esimerkiksi SimpleLocker, SamSam ja WannaDecryptor.

Comodon Threat Research Labs on saanut uutisia siitä, että Black Rose Lucy -kiristysohjelmalla on uusia variantteja, jotka hyökkäävät AndroidOS: ää vastaan.

Black Rose Lucyn haittaohjelmilla ei ollut lunnasohjelmakapasiteettia, kun Check Point löysi ne takaisin syyskuussa2018. Tuolloin Lucy oli haittaohjelmien (Maas) botnet ja pudotin Android-laitteille. Nyt se on palannut uusiin ransomware-ominaisuuksiin, joiden avulla se voi hallita tartunnan saaneita laitteita muokkaamaan ja asentamaan uusia haittaohjelmasovelluksia.

Ladattuna Lucy salaa tartunnan saaneen laitteen ja selaimeen tulee lunnasviesti, väittäen, että se on Yhdysvaltain liittovaltion tutkintatoimiston (FBI) viesti laitteesta löytyvän pornografisen sisällön takia. Uhria kehotetaan maksamaan 500 dollarin sakko kirjoittamalla luottokorttitiedot yleisemmän Bitcoin-menetelmän sijaan.

Kuva 1. Lucy-kiristysohjelma käyttää resurssikuvia.

 

analyysi

Comodo Threat Research Center keräsi näytteitä ja suoritti analyysin, kun huomasimme, että Black Rose Lucy oli palannut.

lähetys

Normaalina videosoitinsovelluksena naamioitu mediajakolinkkien kautta se asennetaan äänettömästi, kun käyttäjä napsauttaa .Android-turvallisuus näyttää viestin, jossa käyttäjää pyydetään ottamaan käyttöön suoratoistovideon optimointi (SVO). Napsauttamalla OK, haittaohjelma saa käyttöoikeudet palveluihin. Kun tämä tapahtuu, Lucy voi salata uhrin laitteen tiedot.

Kuva 2. Lucyn ponnahdusikkunan huijausviesti

 

Ladata

MainActivity-moduulin sisällä sovellus laukaisee haitallisen palvelun, joka rekisteröi sitten BroadcastReceiver-ohjelman, jota komentokäsky.SCREEN_ON kutsuu, ja kutsuu sitten itsensä.

Tätä käytetään WakeLock- ja WifiLock-palvelujen hankkimiseen:

WakeLock: joka pitää laitteen näytön päällä;
WifiLock: joka pitää wifin päällä.

Kuva 3.

 

C & C

Toisin kuin haittaohjelmien aiemmat versiot, TheC & Cservers on toimialue, ei IP-osoite, vaikka palvelin olisi estetty, se voi helposti ratkaista uuden IP-osoitteen.

 

 

Kuva 4. C & C-palvelimet

Kuva 5. Lucy käyttää C & C-palvelimia

Kuva 6: Lucy Command & Control

 

Salaus / salauksen purku

 

Kuva 7: Git-laitteen hakemisto

 

 

 

Kuva 8: Lucyn salaus / salauksen purku

 

Lunnaat

Kun Lucy salaa tartunnan saaneen laitteen, selaimeen tulee lunnasviesti, joka väittää, että viesti on Yhdysvaltain liittovaltion tutkintatoimistolta (FBI) laitteesta löytyvän pornografisen sisällön takia. Uhria kehotetaan maksamaan 500 dollarin sakko syöttämällä luottokorttitiedot yleisemmän Bitcoin-menetelmän sijaan.

Yhteenveto

Haitalliset virukset ovat kehittyneet. Ne ovat monipuolisempia ja tehokkaampia kuin koskaan, ennemmin tai myöhemmin mobiililaitteista tulee massiivinen lunnasohjelmien hyökkäysalusta.

Vinkkejä ennaltaehkäisyyn

1. Lataa ja asenna vain luotetut sovellukset
2. Älä napsauta mitään tuntemattoman alkuperän sovellusta,
3. tehdä säännöllisiä, ei-paikallisia varmuuskopioita tärkeistä tiedostoista,
4.Asenna virustorjuntaohjelma

Aiheeseen liittyvät resurssit

Verkkosivuston haittaohjelmien poisto

Verkkosivun haittaohjelmien skanneri

Viesti Musta ruusu Lucy Back-Ransomware AndroidOS ilmestyi ensin Comodo-uutiset ja Internet-tietoturva.

• Coinsmart. Euroopan paras Bitcoin- ja kryptopörssi.
• Platoblockchain. Web3 Metaverse Intelligence. Tietoa laajennettu. VAPAA PÄÄSY.
• CryptoHawk. Altcoinin tutka. Ilmainen kokeilu.
• Lähde: https://blog.comodo.com/malware/black-rose-lucy-back/