LeakerLocker—竊取個人私密信息進行勒索的安卓惡意軟體

我們最近在Google Play上發現了一種不加密文件的移動ransomware。這種惡意軟體會要求被害者支付一筆款項，從而防止攻擊者傳播受害者的私人信息。LeakerLocker聲稱對手機的敏感信息進行了未經授權的備份，這些信息可能泄露給用戶的聯繫人，除非收到贖金。

McAfee Mobile Malware Research團隊將此ransomware識別為Android / Ransom.LeakerLocker.A！Pkg。目前已經向谷歌進行了報告，他們們正在調查。

目前Google Play上有兩個應用程序帶有這種威脅。其中一個叫做「Wallpapers Blur HD」，已經下載了5000到10,000次之間。它最後更新於4月7日。從評論中我們可以看到，一個用戶抱怨為什麼壁紙應用程序請求不相關的許可權，如電話，閱讀和發送簡訊，訪問聯繫人等。

第二個惡意應用程序是「Booster＆Cleaner Pro」，最後更新於6月28日。它目前已經被下載了1,000到5,000次之間。它的評分是4.5，遠高於壁紙的3.6。然而，這個評級並不是一個安全指標，因為假的評論在欺詐性的應用程序中很常見。

這兩個木馬提供了顯然正常的功能，但它們隱藏了惡意的playload。

接下來我們來看看「Booster＆Cleaner Pro」，了解一下這個隱藏的playload會發生什麼。

首次執行時，惡意軟體會顯示Android boosters的典型功能。由於這種應用的性質，用戶可能更願意允許其獲得幾乎任何的許可權。

引導完成後，接收器com.robocleansoft.boostvsclean.receivers.BoorReceiver啟動AlarmManager，隨後其他條件啟動惡意活動com.robocleansoft.boostvsclean.AdActivity並鎖定設備的屏幕。

LeakerLocker鎖定主屏幕，並且由於受害者在安裝時授予了許可權所以它會在後台訪問私人信息。它完全不需要任何的漏洞利用或低級欺騙，但它可以從其控制伺服器遠程載入.dex代碼，使得其功能不可預測，擴展或停用，並且避免在某些環境中被檢測出來。

事實上，並非所有惡意軟體聲稱訪問了私人數據就會真的被讀取或泄漏。ransomware可以讀取受害者的電子郵件地址，隨機聯繫人，Chrome歷史記錄，一些簡訊和通話，從相機中選擇一張照片，並閱讀一些設備信息 – 我們可以從以下JavaScript界面功能中看到：

所有這些信息隨機選擇通過JavaScript顯示（在jpus.js中），並告訴受害者他們已經複製了大量數據。一個WebView會在設備鎖定後出現。

此時，原始應用程序中的代碼尚未傳輸信息，但如果控制伺服器提供另一個.dex文件，則可能會發生傳輸。

當受害者輸入信用卡號碼並點擊「付款」時，代碼會以卡號作為參數向付款URL發送請求。如果付款成功，則顯示「我們的個人數據已從我們的伺服器中刪除，您的隱私被保護」的信息。「如果不成功，則顯示」尚未付款。您的隱私處於危險之中。「付款網址來自伺服器; 攻擊者可以在伺服器上設置不同的目標卡號。

最後，我們建議受感染設備的用戶不支付贖金：這樣做有助於惡意業務的擴散，這將導致更多的攻擊。此外，即使支付了贖金也不能保證信息就會被釋放，並且很可能用於再次訛詐受害者。

哈希

A485F69D5E8EFEE151BF58DBDD9200B225C1CF2FF452C830AF062A73B5F3EC97nCD903FC02F88E45D01333B17AD077D9062316F289FDED74B5C8C1175FDCDB9D8nCB0A777E79BCEF4990159E1B6577649E1FCA632BFCA82CB619EEA0E4D7257E7BnB6BAE19379225086D90023F646E990456C49C92302CDABDCCBF8B43F8637083En486F80EDFB1DEA13CDE87827B14491E93C189C26830B5350E31B07C787B29387n

網址

hxxp：//updatmaster.top/click.php cnv_id

hxxp://goupdate.bid/click.php?cnv_id=

本文翻譯自：LeakerLocker: Mobile Ransomware Acts Without Encryption | McAfee Blogs，如若轉載，請註明來源於嘶吼： LeakerLocker-竊取個人私密信息進行勒索的安卓惡意軟體 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀：