Black Rose LucyバックランサムウェアAndroidOS

読書の時間： 3 分概要

2017年にWannaCryが勃発したのは、一般市民が直接目にして、ランサムウェアの威力に気づいた最初のXNUMXつです。政府、教育、病院、エネルギー、通信、製造、およびその他の多くの主要な情報インフラストラクチャ部門は、前例のない損失を被りました。以来、SimpleLocker、SamSam、WannaDecryptorなど、多くのバージョンが存在します。

ComodoのThreat Research Labsは、ランサムウェア「Black Rose Lucy」にAndroidOSを攻撃する新しい亜種があるというニュースを受け取りました。

Black Rose Lucyマルウェアは、チェックポイントが2018年XNUMX月に発見した時点で、ランサムウェア機能を持っていませんでした。 現在は、感染したデバイスを制御して新しいマルウェアアプリケーションを変更およびインストールできる新しいランサムウェア機能が復活しました。

ルーシーはダウンロードされると、感染したデバイスを暗号化し、身代金メッセージがブラウザにポップアップ表示されます。これは、デバイスに見つかったポルノコンテンツが原因の米国連邦捜査局（FBI）からのメッセージであると主張します。被害者は500ドルの罰金を支払うように指示されていますより一般的なビットコイン方式ではなく、クレジットカード情報を入力することにより。

図1. Lucyランサムウェアがリソースイメージを使用。

 

分析

コモド脅威研究センターは、ブラックローズルーシーが戻ってきたことに気付いたときに、サンプルを収集して分析を行いました。

送信

メディア共有リンクを介して通常のビデオプレーヤーアプリケーションになりすまし、ユーザーがクリックするとサイレントインストールされます。 「OK」をクリックすると、マルウェアはアクセシビリティサービスの許可を取得します。 それが発生すると、ルーシーは被害者のデバイス上のデータを暗号化できます。

図2. Lucyポップアップの不正行為メッセージ

 

負荷

MainActivityモジュール内で、アプリケーションは悪意のあるサービスをトリガーし、コマンドaction.SCREEN_ONによって呼び出されるBroadcastReceiverを登録してから、自身を呼び出します。

これは、「WakeLock」および「WifiLock」サービスを取得するために使用されます。

WakeLock：デバイスの画面をオンに保ちます。
WifiLock：Wifiをオンに保ちます。

図3。

 

C＆C

以前のバージョンのマルウェアとは異なり、TheC＆Cserversはドメインであり、IPアドレスではありません。サーバーがブロックされている場合でも、新しいIPアドレスを簡単に解決できます。

 

 

図4.C＆Cサーバー

図5.ルーシーはC＆Cサーバーを使用しています

図6：ルーシーのコマンドアンドコントロール

 

暗号化/復号化

 

図7：Gitデバイスディレクトリ

 

 

 

図8：Lucy暗号化/復号化関数

 

身代金

Lucyが感染したデバイスを暗号化すると、デバイスに見つかったポルノコンテンツが原因で、メッセージが米国連邦捜査局（FBI）からのものであると主張する身代金メッセージがブラウザーにポップアップ表示されます。被害者は、より一般的なビットコイン方式ではなく、クレジットカード情報。

まとめ

悪意のあるウイルスが進化しています。 遅かれ早かれ、モバイルは大規模なランサムウェア攻撃プラットフォームになるでしょう。

予防のヒント

1.信頼できるアプリケーションのみをダウンロードしてインストールする
2.不明な出所のアプリケーションをクリックしないでください。
3.重要なファイルのローカルではない定期的なバックアップを作成し、
4.ウイルス対策ソフトウェアをインストールする

関連リソース

ウェブサイトのマルウェアの削除

Webサイトマルウェアスキャナー

ポスト Black Rose LucyバックランサムウェアAndroidOS 最初に登場した コモドニュースとインターネットセキュリティ情報.

• コインスマート。 ヨーロッパで最高のビットコインと暗号通貨取引所。
• Platoblockchain。 Web3メタバースインテリジェンス。 知識の増幅。 出入り自由。
• CryptoHawk。 アルトコインレーダー。 無料トライアル。
• ソース：https://blog.comodo.com/malware/black-rose-lucy-back/