Waktu Membaca: 3 menitRingkasan
Salah satu kali pertama yang disaksikan oleh publik pertama kali dan menyadari kekuatan ransomware adalah ketika WannaCry pecah pada tahun 2017. Pemerintah, pendidikan, rumah sakit, energi, komunikasi, manufaktur dan banyak sektor infrastruktur informasi penting lainnya mengalami kerugian yang belum pernah terjadi sebelumnya. Melihat kembali, itu hanyalah permulaan , karena sudah ada banyak versi, sepertiSimpleLocker, SamSam dan WannaDecryptor misalnya.
Laboratorium Riset Ancaman Comodo telah menerima berita bahwa ransomware 'Mawar Hitam Lucy' memiliki varian baru yang menyerang AndroidOS.
Malware Black Rose Lucy tidak memiliki kemampuan ransomware pada saat ditemukan oleh Check Point diSeptember2018. Pada waktu itu, Lucy adalah botnet dan penetes malware-as-a-Service (Maas) untuk perangkat Android. Sekarang, ia kembali dengan kemampuan ransomware baru yang memungkinkannya mengendalikan perangkat yang terinfeksi untuk memodifikasi dan menginstal aplikasi malware baru.
Ketika diunduh, Lucy mengenkripsi perangkat yang terinfeksi dan pesan tebusan muncul di browser, mengklaim itu adalah pesan dari Biro Investigasi Federal AS (FBI) karena konten porno ditemukan di perangkat. Korban diinstruksikan untuk membayar denda $ 500 dengan memasukkan informasi kartu kredit, alih-alih metode Bitcoin yang lebih umum.
Gambar 1. Lucy ransomware menggunakan gambar sumber daya.
Analisis
Pusat Penelitian Ancaman Comodo mengumpulkan sampel dan melakukan analisis ketika kami menyadari bahwa Black Rose Lucy kembali.
Transmisi
Menyamar sebagai aplikasi pemutar video biasa, melalui tautan berbagi media, diam-diam dipasang saat pengguna mengeklik. Keamanan Android menampilkan pesan yang meminta pengguna untuk mengaktifkan Streaming Video Optimization (SVO). Dengan mengklik 'OK', malware akan mendapatkan izin layanan aksesibilitas. Setelah itu terjadi, Lucy dapat mengenkripsi data pada perangkat korban.
Gambar 2. Pesan kecurangan Lucy popup
Beban
Di dalam modul MainActivity, aplikasi memicu layanan jahat, yang kemudian mendaftarkan BroadcastReceiver yang dipanggil oleh tindakan perintah. SCREEN_ON dan kemudian memanggil dirinya sendiri.
Ini digunakan untuk mendapatkan layanan 'WakeLock' dan 'WifiLock':
WakeLock: yang membuat layar perangkat menyala;
WifiLock: yang membuat wifi menyala.
Gambar 3.
C&C
Tidak seperti versi malware sebelumnya, TheC & Cservers adalah domain, bukan alamat IP. Bahkan jika server diblokir, itu dapat dengan mudah menyelesaikan alamat IP baru.
Gambar 4. Server C&C
Gambar 5. Lucy menggunakan server C&C
Gambar 6: Perintah & Kontrol Lucy
Enkripsi / Dekripsi
Gambar 7: Direktori perangkat Git
Gambar 8: Fungsi enkripsi / dekripsi Lucy
Tebusan
Setelah Lucy mengenkripsi perangkat yang terinfeksi, sebuah pesan tebusan muncul di browser, mengklaim pesan tersebut dari Biro Investigasi Federal AS (FBI), karena konten porno ditemukan pada perangkat. Korban diinstruksikan untuk membayar denda $ 500 dengan memasukkan informasi kartu kredit, alih-alih metode Bitcoin yang lebih umum.
Kesimpulan
Virus berbahaya telah berevolusi. Mereka lebih beragam dan efisien dari sebelumnya. Seger atau lambat, mobil akan menjadi platform serangan ransomware besar.
Kiat Pencegahan
1. Unduh dan instal aplikasi tepercaya saja
2.Jangan mengklik aplikasi asal tidak diketahui,
3. Buat cadangan file penting secara berkala dan non-lokal,
4. Instal perangkat lunak anti-virus
Sumber Terkait
Pos Mawar Hitam Lucy Back-Ransomware AndroidOS muncul pertama pada Berita Comodo dan Informasi Keamanan Internet.
- "
- &
- 7
- a
- memperoleh
- Tindakan
- alamat
- analisis
- android
- Aplikasi
- aplikasi
- backup
- Awal
- Bitcoin
- Black
- Memblokir
- botnet
- Browser
- kemampuan
- Umum
- komunikasi
- Konten
- kontrol
- kredit
- kartu kredit
- data
- alat
- Devices
- MELAKUKAN
- penemuan
- Display
- domain
- Download
- mudah
- Pendidikan
- efisien
- aktif
- enkripsi
- energi
- berkembang
- contoh
- fbi
- Federal
- Biro Investigasi Federal
- Angka
- akhir
- Pertama
- ditemukan
- dari
- fungsi
- pergi
- Pemerintah
- rumah sakit
- HTTPS
- gambar
- penting
- informasi
- Infrastruktur
- install
- Internet
- Internet Security
- investigasi
- IP
- Alamat IP
- IT
- Diri
- kunci
- Labs
- link
- mencari
- keberuntungan
- membuat
- malware
- pabrik
- besar-besaran
- Media
- lebih
- berita
- normal
- optimasi
- Lainnya
- Membayar
- Platform
- pemain
- Titik
- kekuasaan
- sebelumnya
- publik
- Tebusan
- ransomware
- Serangan Ransomware
- menyadari
- diterima
- register
- reguler
- penelitian
- sumber
- Layar
- Sektor
- keamanan
- layanan
- Share
- sejak
- Streaming
- Grafik
- waktu
- kali
- belum pernah terjadi sebelumnya
- us
- menggunakan
- Video
- virus
- wifi