Timp de citit: 3 minuteDescriere
Una dintre primele ocazii in care publicul a asistat de prima mana si si-a dat seama de puterea ransomware-ului a fost atunci cand WannaCry a izbucnit in 2017. Guvernul, educatia, spitalele, energia, comunicatiile, productia si multe alte sectoare cheie ale infrastructurii informatice au suferit pierderi fara precedent. Privind in urma, acesta a fost doar inceputul. , deoarece de atunci au existat multe versiuni, cum ar fi SimpleLocker, SamSam și WannaDecryptor, de exemplu.
Laboratoarele de cercetare a amenințărilor de la Comodo au primit vești că ransomware-ul „Black Rose Lucy” are noi variante care atacă AndroidOS.
Malware-ul Black Rose Lucy nu avea capabilități de ransomware la momentul descoperirii sale de către Check Point în septembrie 2018. La acel moment, Lucy era o rețea botnet Malware-as-a-Service (Maas) și dropper pentru dispozitivele Android. Acum, a revenit cu noi capabilități ransomware care îi permit să preia controlul asupra dispozitivelor infectate pentru a modifica și instala noi aplicații malware.
Când este descărcat, Lucy criptează dispozitivul infectat și un mesaj de răscumpărare apare în browser, susținând că este un mesaj de la Biroul Federal de Investigații al SUA (FBI) din cauza conținutului pornografic găsit pe dispozitiv. Victima i se cere să plătească o amendă de 500 USD. prin introducerea informațiilor despre cardul de credit, în locul metodei mai obișnuite Bitcoin.
Figura 1. Lucy ransomware a folosit imagini de resurse.
Analiză
Comodo Threat Research Center a colectat mostre și a efectuat o analiză când ne-am dat seama că Black Rose Lucy s-a întors.
Transmisie
Deghizat ca o aplicație de redare video obișnuită, prin linkuri de partajare media, se instalează în tăcere atunci când un utilizator dă clic. Făcând clic pe „OK”, malware-ul va obține permisiunea serviciului de accesibilitate. Odată ce se întâmplă acest lucru, Lucy poate cripta datele de pe dispozitivul victimei.
Figura 2. Mesaj de înșelăciune pop-up Lucy
A incarca
În interiorul modulului MainActivity, aplicația declanșează serviciul rău intenționat, care apoi înregistrează un BroadcastReceiver care este apelat de comanda action.SCREEN_ON și apoi se autoapelează.
Acesta este folosit pentru a achiziționa serviciul „WakeLock” și „WifiLock”:
WakeLock: care menține ecranul dispozitivului aprins;
WifiLock: care menține wifi-ul pornit.
Figura 3.
C&C
Spre deosebire de versiunile anterioare de malware, TheC&Cservers este un domeniu, nu o adresă IP. Chiar dacă serverul este blocat, poate rezolva cu ușurință o nouă adresă IP.
Figura 4. Servere C&C
Figura 5. Lucy utilizează servere C&C
Figura 6: Lucy Command & Control
Criptare / Decriptare
Figura 7: Directorul dispozitivului Git
Figura 8: Funcția de criptare/decriptare Lucy
Răscumpărare
Odată ce Lucy criptează dispozitivul infectat, în browser apare un mesaj de răscumpărare, susținând că mesajul provine de la Biroul Federal de Investigații al SUA (FBI), din cauza conținutului pornografic găsit pe dispozitiv. Victimei i se cere să plătească o amendă de 500 USD introducând informații despre cardul de credit, în loc de metoda mai comună Bitcoin.
Rezumat
Virușii rău intenționați au evoluat. Ele sunt mai diverse și mai eficiente decât oricând. Mai devreme sau mai târziu, mobilul va fi o platformă masivă de atac ransomware.
Sfaturi pentru prevenire
1.Descărcați și instalați numai aplicații de încredere
2. Nu faceți clic pe nicio aplicație de origine necunoscută,
3. Efectuați copii de rezervă regulate, non-locale ale fișierelor importante,
4. Instalați software antivirus
Resurse conexe
Eliminarea malware-ului site-ului web
Scanner de programe malware pentru site-uri web
Mesaj Black Rose Lucy Back-Ransomware AndroidOS a apărut în primul rând pe Știri Comodo și informații de securitate pe Internet.
- "
- &
- 7
- a
- dobândi
- Acțiune
- adresa
- analiză
- Android
- aplicație
- aplicatii
- backup-uri
- Început
- Bitcoin
- Negru
- Bloca
- botnet
- browser-ul
- capacități
- Comun
- Comunicații
- conţinut
- Control
- credit
- card de credit
- de date
- dispozitiv
- Dispozitive
- FĂCUT
- descoperire
- Afişa
- domeniu
- Descarca
- cu ușurință
- Educaţie
- eficient
- permite
- criptare
- energie
- evoluție
- exemplu
- FBI
- federal
- Biroul Federal de Investigatii
- Figura
- capăt
- First
- găsit
- din
- funcţie
- merge
- Guvern
- spitale
- HTTPS
- imagini
- important
- informații
- Infrastructură
- instala
- Internet
- Internet Security
- investigaţie
- IP
- Adresa IP
- IT
- în sine
- Cheie
- Labs
- Link-uri
- cautati
- noroc
- face
- malware
- de fabricaţie
- masiv
- Mass-media
- mai mult
- ştiri
- normală.
- optimizare
- Altele
- Plătește
- platformă
- player
- Punct
- putere
- precedent
- public
- Răscumpărare
- Ransomware
- Atac Ransomware
- realizat
- primit
- registre
- regulat
- cercetare
- resursă
- Ecran
- sectoare
- securitate
- serviciu
- Distribuie
- întrucât
- de streaming
- timp
- ori
- fără precedent
- us
- utilizare
- Video
- viruși
- Wifi