Black Rose Lucy Back-Ransomware AndroidOS

Läsningstid: 3 minuterÖversikt

En av de första gångerna som allmänheten bevittnade och insåg kraften med ransomware var när WannaCry bröt ut 2017. Regeringen, utbildning, sjukhus, energi, kommunikation, tillverkning och många andra viktiga informationsinfrastruktursektorer led oöverträffade förluster. När man ser tillbaka var det bara början , eftersom det sedan dess har funnits många versioner, som SimpleLocker, SamSam och WannaDecryptor till exempel.

Comodos Threat Research Labs har fått nyheter om att "Black Rose Lucy" ransomware har nya varianter som attackerar AndroidOS.

Black Rose Lucy malware hade inte ransomware-kapacitet vid tidpunkten för upptäckten av Check Point redan i september 2018. Vid den tiden var Lucy ett Malware-as-a-Service(Maas) botnät och dropper för Android-enheter. Nu är den tillbaka med nya ransomware-funktioner som låter den ta kontroll över infekterade enheter för att modifiera och installera nya skadliga program.

När den laddas ner krypterar Lucy den infekterade enheten och ett lösenmeddelande dyker upp i webbläsaren och hävdar att det är ett meddelande från US Federal Bureau of Investigation (FBI) på grund av pornografiskt innehåll på enheten. Offret uppmanas att betala 500 USD i böter genom att ange kreditkortsinformation, istället för den vanligare Bitcoin-metoden.

Figur 1. Lucy ransomware används resursbilder.

 

Analys

Comodo Threat Research Center samlade in prover och gjorde en analys när vi insåg att Black Rose Lucy var tillbaka.

Växellåda

Förklädd som en vanlig videospelarapplikation, via länkar för mediadelning, installeras den tyst när en användare klickar. Android-säkerhet visar ett meddelande som ber användaren att aktivera optimering av streaming video (SVO). Genom att klicka på "OK" får den skadliga programvaran tillgänglighetstjänsttillstånd. När det händer kan Lucy kryptera data på offrets enhet.

Figur 2. Lucy popup-fuskmeddelande

 

Ladda

Inuti MainActivity-modulen utlöser applikationen den skadliga tjänsten, som sedan registrerar en BroadcastReceiver som anropas av kommandot action.SCREEN_ON och sedan anropar sig själv.

Detta används för att förvärva "WakeLock"- och "WifiLock"-tjänsterna:

WakeLock: som håller enhetens skärm på;
WifiLock: som håller wifi på.

Figur 3.

 

C&C

Till skillnad från tidigare versioner av skadlig programvara är TheC&Cservers en domän, inte en IP-adress. Även om servern är blockerad kan den enkelt lösa en ny IP-adress.

 

 

Figur 4. C&C-servrar

Figur 5. Lucy använder C&C-servrar

Figur 6: Lucy Command & Control

 

Kryptering/Dekryptering

 

Figur 7: Git enhetskatalog

 

 

 

Figur 8: Lucy kryptering/dekrypteringsfunktion

 

Ransom

När Lucy krypterar den infekterade enheten, dyker ett lösenmeddelande upp i webbläsaren, som hävdar att meddelandet är från US Federal Bureau of Investigation (FBI), på grund av pornografiskt innehåll på enheten. Offret instrueras att betala 500 USD i böter genom att gå in kreditkortsinformation, istället för den vanligare Bitcoin-metoden.

Sammanfattning

Skadliga virus har utvecklats. De är mer mångsidiga och effektiva än någonsin. Förr eller senare kommer mobilen att bli en massiv plattform för attacker mot ransomware.

Tips för förebyggande

1. Ladda ner och installera endast betrodda applikationer
2. Klicka inte på någon applikation av okänt ursprung,
3. Gör regelbundna, icke-lokala säkerhetskopior av viktiga filer,
4. Installera antivirusprogram

Relaterade resurser

Borttagning av webbplatsens skadliga program

Webbplats Malware Scanner

Posten Black Rose Lucy Back-Ransomware AndroidOS visades först på Comodo Nyheter och Internetsäkerhetsinformation.

• Myntsmart. Europas bästa bitcoin- och kryptobörs.
• Platoblockchain. Web3 Metaverse Intelligence. Kunskap förstärkt. FRI TILLGÅNG.
• CryptoHawk. Altcoin radar. Gratis provperiod.
• Källa: https://blog.comodo.com/malware/black-rose-lucy-back/