Czarna Róża Lucy Powrót | Ransomware dla systemu operacyjnego Android

Czarna Róża Lucy Powrót | Ransomware dla systemu operacyjnego Android

Znacznik czasu: 17 czerwca 2020 5:05

Locky Ransomw Czas czytania: 3 minuty

Przegląd

Jednym z pierwszych przypadków, w których opinia publiczna była naocznym świadkiem i uświadomiła sobie potęgę oprogramowania ransomware, był wybuch WannaCry w 2017 roku. Rząd, edukacja, szpitale, energetyka, komunikacja, produkcja i wiele innych kluczowych sektorów infrastruktury informatycznej poniosło bezprecedensowe straty. Patrząc wstecz, to był dopiero początek , ponieważ od tego czasu istnieje wiele wersji, takich jak na przykład SimpleLocker, SamSam i WannaDecryptor.

Comodo's Threat Research Labs otrzymało wiadomość, że oprogramowanie ransomware „Black Rose Lucy” ma nowe warianty, które atakują system operacyjny Android.

Szkodliwe oprogramowanie Black Rose Lucy nie miało możliwości ransomware w momencie wykrycia przez Check Point we wrześniu 2018 r. W tym czasie Lucy była botnetem Malware jako usługa (Maas) i dropperem dla urządzeń z systemem Android. Teraz powraca z nowymi funkcjami oprogramowania ransomware, które pozwalają mu przejąć kontrolę nad zainfekowanymi urządzeniami w celu modyfikowania i instalowania nowych złośliwych aplikacji.

Po pobraniu Lucy szyfruje zainfekowane urządzenie, a w przeglądarce pojawia się wiadomość z żądaniem okupu, twierdząc, że jest to wiadomość od Federalnego Biura Śledczego USA (FBI) z powodu zawartości pornograficznej znalezionej na urządzeniu. Ofiara ma zapłacić grzywnę w wysokości 500 USD wprowadzając dane karty kredytowej, zamiast bardziej popularnej metody Bitcoin.

Lucy ransomware

Rysunek 1. Oprogramowanie ransomware Lucy używało obrazów zasobów.

Analiza

Comodo Threat Research Center zebrało próbki i przeprowadziło analizę, kiedy zdaliśmy sobie sprawę, że Black Rose Lucy wróciła.

Transmisja

Przebrana za normalną aplikację odtwarzacza wideo, za pośrednictwem łączy do udostępniania multimediów, instaluje się po cichu, gdy użytkownik kliknie. Zabezpieczenia Androida wyświetla komunikat z prośbą o włączenie Optymalizacji strumieniowego wideo (SVO). Klikając „OK”, złośliwe oprogramowanie uzyska pozwolenie na dostęp do usługi. Gdy to się stanie, Lucy może zaszyfrować dane na urządzeniu ofiary.

Lucy oszukuje wyskakujące okienko

Rysunek 2. Wyskakująca wiadomość o oszustwie Lucy

Załadować

Wewnątrz modułu MainActivity aplikacja uruchamia złośliwą usługę, która następnie rejestruje BroadcastReceiver, który jest wywoływany przez polecenie action.SCREEN_ON, a następnie wywołuje samą siebie.

Służy do nabywania usług „WakeLock” i „WifiLock”:

WakeLock: który utrzymuje włączony ekran urządzenia;
WifiLock: który utrzymuje Wi-Fi.

Rysunek 3

Rysunek 3.

C&C

W przeciwieństwie do poprzednich wersji złośliwego oprogramowania, serwery C&C są domeną, a nie adresem IP. Nawet jeśli serwer jest zablokowany, może łatwo rozwiązać nowy adres IP.

serwer CC

Rysunek 4. Serwery C&C

Szczęście Użyj CC Server

Rysunek 5. Lucy korzysta z serwerów C&C

Dowództwo Lucy

Kontrola Lucy

Rysunek 6: Dowództwo i kontrola Lucy

Szyfrowanie/odszyfrowywanie

Katalog urządzeń Git

Rysunek 7: Katalog urządzenia Git

Lucy-Funkcja Szyfrowania

Lucy-Funkcja Szyfrowania

Rysunek 8: Funkcja szyfrowania/odszyfrowywania Lucy

Okup

Gdy Lucy zaszyfruje zainfekowane urządzenie, w przeglądarce pojawia się wiadomość z żądaniem okupu, twierdząc, że wiadomość pochodzi od Federalnego Biura Śledczego USA (FBI) z powodu treści pornograficznych znalezionych na urządzeniu. informacje o karcie kredytowej, zamiast bardziej popularnej metody Bitcoin.

Podsumowanie

Złośliwe wirusy ewoluują. Są bardziej zróżnicowane i wydajne niż kiedykolwiek. Wcześniej czy później telefon komórkowy stanie się potężną platformą do ataków ransomware.

Wskazówki dotyczące zapobiegania

1. Pobieraj i instaluj tylko zaufane aplikacje
2. Nie klikaj na żadną aplikację nieznanego pochodzenia,
3. Twórz regularne, nielokalne kopie zapasowe ważnych plików,
4. Zainstaluj oprogramowanie antywirusowe

Powiązane zasoby

Usuwanie złośliwego oprogramowania ze strony internetowej

Skaner złośliwego oprogramowania w witrynie

ROZPOCZNIJ DARMOWY OKRES PRÓBNY ODBIERZ SWOJĄ NATYCHMIASTOWĄ KARTĘ BEZPIECZEŃSTWA ZA DARMO

Znak czasu:

Więcej z Cyberbezpieczeństwo Comodo