Mawar Hitam Lucy Back-Ransomware AndroidOS

Waktu Membaca: 3 menitRingkasan

Salah satu kali pertama yang disaksikan oleh publik pertama kali dan menyadari kekuatan ransomware adalah ketika WannaCry pecah pada tahun 2017. Pemerintah, pendidikan, rumah sakit, energi, komunikasi, manufaktur dan banyak sektor infrastruktur informasi penting lainnya mengalami kerugian yang belum pernah terjadi sebelumnya. Melihat kembali, itu hanyalah permulaan , karena sudah ada banyak versi, sepertiSimpleLocker, SamSam dan WannaDecryptor misalnya.

Laboratorium Riset Ancaman Comodo telah menerima berita bahwa ransomware 'Mawar Hitam Lucy' memiliki varian baru yang menyerang AndroidOS.

Malware Black Rose Lucy tidak memiliki kemampuan ransomware pada saat ditemukan oleh Check Point diSeptember2018. Pada waktu itu, Lucy adalah botnet dan penetes malware-as-a-Service (Maas) untuk perangkat Android. Sekarang, ia kembali dengan kemampuan ransomware baru yang memungkinkannya mengendalikan perangkat yang terinfeksi untuk memodifikasi dan menginstal aplikasi malware baru.

Ketika diunduh, Lucy mengenkripsi perangkat yang terinfeksi dan pesan tebusan muncul di browser, mengklaim itu adalah pesan dari Biro Investigasi Federal AS (FBI) karena konten porno ditemukan di perangkat. Korban diinstruksikan untuk membayar denda $ 500 dengan memasukkan informasi kartu kredit, alih-alih metode Bitcoin yang lebih umum.

Gambar 1. Lucy ransomware menggunakan gambar sumber daya.

 

Analisis

Pusat Penelitian Ancaman Comodo mengumpulkan sampel dan melakukan analisis ketika kami menyadari bahwa Black Rose Lucy kembali.

Transmisi

Menyamar sebagai aplikasi pemutar video biasa, melalui tautan berbagi media, diam-diam dipasang saat pengguna mengeklik. Keamanan Android menampilkan pesan yang meminta pengguna untuk mengaktifkan Streaming Video Optimization (SVO). Dengan mengklik 'OK', malware akan mendapatkan izin layanan aksesibilitas. Setelah itu terjadi, Lucy dapat mengenkripsi data pada perangkat korban.

Gambar 2. Pesan kecurangan Lucy popup

 

Beban

Di dalam modul MainActivity, aplikasi memicu layanan jahat, yang kemudian mendaftarkan BroadcastReceiver yang dipanggil oleh tindakan perintah. SCREEN_ON dan kemudian memanggil dirinya sendiri.

Ini digunakan untuk mendapatkan layanan 'WakeLock' dan 'WifiLock':

WakeLock: yang membuat layar perangkat menyala;
WifiLock: yang membuat wifi menyala.

Gambar 3.

 

C&C

Tidak seperti versi malware sebelumnya, TheC & Cservers adalah domain, bukan alamat IP. Bahkan jika server diblokir, itu dapat dengan mudah menyelesaikan alamat IP baru.

 

 

Gambar 4. Server C&C

Gambar 5. Lucy menggunakan server C&C

Gambar 6: Perintah & Kontrol Lucy

 

Enkripsi / Dekripsi

 

Gambar 7: Direktori perangkat Git

 

 

 

Gambar 8: Fungsi enkripsi / dekripsi Lucy

 

Tebusan

Setelah Lucy mengenkripsi perangkat yang terinfeksi, sebuah pesan tebusan muncul di browser, mengklaim pesan tersebut dari Biro Investigasi Federal AS (FBI), karena konten porno ditemukan pada perangkat. Korban diinstruksikan untuk membayar denda $ 500 dengan memasukkan informasi kartu kredit, alih-alih metode Bitcoin yang lebih umum.

Kesimpulan

Virus berbahaya telah berevolusi. Mereka lebih beragam dan efisien dari sebelumnya. Seger atau lambat, mobil akan menjadi platform serangan ransomware besar.

Kiat Pencegahan

1. Unduh dan instal aplikasi tepercaya saja
2.Jangan mengklik aplikasi asal tidak diketahui,
3. Buat cadangan file penting secara berkala dan non-lokal,
4. Instal perangkat lunak anti-virus

Sumber Terkait

Penghapusan Malware Situs Web

Pemindai Malware Situs Web

Pos Mawar Hitam Lucy Back-Ransomware AndroidOS muncul pertama pada Berita Comodo dan Informasi Keamanan Internet.

• Coinsmart. Pertukaran Bitcoin dan Crypto Terbaik Eropa.
• Platoblockchain. Intelijen Metaverse Web3. Pengetahuan Diperkuat. AKSES GRATIS.
• CryptoHawk. Radar Altcoin. Uji Coba Gratis.
• Sumber: https://blog.comodo.com/malware/black-rose-lucy-back/