黑玫瑰露西回来|针对 Android 操作系统的勒索软件

阅读时间： 3 分钟

概述

公众第一次亲眼目睹并意识到勒索软件的强大功能是在WannaCry于2017年爆发时。政府，教育，医院，能源，通信，制造业和许多其他关键信息基础设施部门遭受了空前的损失。回顾过去，这仅仅是开始，因为此后出现了许多版本，例如，SimpleLocker，SamSam和WannaDecryptor。

Comodo的威胁研究实验室已经收到消息，“ Black Rose Lucy”勒索软件具有攻击AndroidOS的新变种。

Black Point Lucy恶意软件在2018年XNUMX月被Check Point发现时还没有勒索软件功能。当时，Lucy是Android设备的恶意软件即服务（Maas）僵尸网络和植入程序。 现在，它又有了新的勒索软件功能，可以控制受感染的设备来修改和安装新的恶意软件应用程序。

下载后，露西（Lucy）对受感染的设备进行加密，并在浏览器中弹出赎金消息，称这是设备上发现的色情内容，是来自美国联邦调查局（FBI）的消息，并指示受害者支付500美元的罚款。通过输入信用卡信息，而不是更常见的比特币方法。

图1. Lucy勒索软件使用的资源映像。

分析

当我们意识到黑玫瑰露西回来时，Comodo威胁研究中心收集了样本并进行了分析。

传输

通过媒体共享链接伪装成普通的视频播放器应用程序，当用户单击时它会以静默方式安装。Android安全性会显示一条消息，要求用户启用流视频优化（SVO）。 通过单击“确定”，恶意软件将获得可访问性服务权限。 一旦发生这种情况，露西可以加密受害者设备上的数据。

图2. Lucy弹出作弊消息

加载

在MainActivity模块内部，应用程序触发恶意服务，该恶意服务随后注册由命令action.SCREEN_ON调用的BroadcastReceiver，然后对其进行自我调用。

这用于获取“ WakeLock”和“ WifiLock”服务：

WakeLock：保持设备屏幕打开；
WifiLock：保持wifi开启。

图3。

C＆C

与以前版本的恶意软件不同，TheC＆Cservers是一个域而不是IP地址，即使服务器被阻止，它也可以轻松解析新的IP地址。

图4. C＆C服务器

图5. Lucy使用C＆C服务器

图6：Lucy命令与控制

加密/解密

图7：Git设备目录

图8：露西加密/解密功能

赎金

露西加密受感染的设备后，浏览器中弹出一条赎金消息，称该消息来自美国联邦调查局（FBI），原因是该设备上存在色情内容。受害人被指示通过输入500美元的罚款。信用卡信息，而不是更常见的比特币方法。

总结

恶意病毒一直在发展。 它们比以往任何时候都更加多样化和高效。迟早，移动设备将成为大规模的勒索软件攻击平台。

预防小贴士

1.仅下载并安装受信任的应用程序
2.不要点击任何未知来源的应用程序，
3.对重要文件进行定期的非本地备份，
4，安装杀毒软件

相关资源

网站恶意软件删除

网站恶意软件扫描程序

开启免费体验 免费获取即时安全评分

• SEO 支持的内容和 PR 分发。 今天得到放大。
• PlatoData.Network 垂直生成人工智能。 赋予自己力量。 访问这里。
• 柏拉图爱流。 Web3 智能。 知识放大。 访问这里。
• 柏拉图ESG。 碳， 清洁科技, 能源， 环境， 太阳能， 废物管理。 访问这里。
• 柏拉图健康。 生物技术和临床试验情报。 访问这里。
• Sumber: https://blog.comodo.com/malware/black-rose-lucy-back/