Google雲端通訊服務成駭客勒索幫兇，傳達駭客控制指令至Android用戶

資安公司Fortinet研究人員Kai Lu於16日公布，有一款專門攻擊Android裝置的勒索軟體Locker，會鎖定螢幕要求使用者輸入信用卡資料。這款勒索軟體與過去發動勒索攻擊方式不同，它利用Google 雲端通訊服務（Google Cloud Messaging，GCM）發送命令操控遭到感染的Android裝置。Kai Lu認為，未來可能有更多駭客會利用Google雲端通訊服務發動勒索攻擊。

根據Kai Lu文章指出，用戶啟動遭到勒索軟體Locker感染的App，會要求用戶授予此App管理員權限。當用戶授權後，勒索軟體會立即發動勒索攻擊，鎖住使用者Android裝置的螢幕，造成用戶無法點選其他應用程式或是首頁解除，僅能使用鍵盤功能。接著，螢幕出現要求用戶輸入信用卡資料支付贖金的畫面，並且同時竊取用戶的銀行資料。

惡意軟體Android/Locker.FK!tr植入偽裝的Android App之中。圖片來源：Fortinet

然而，根據資安部落格BLEEPINGCOMPUTER說明，駭客索取的金額都是超過手機價格的10倍和100倍之間，大部分的用戶遇到此情形，會選擇購買新的手機，較不願意支付駭客贖金。

螢幕出現勒索用戶贖金的畫面，要求使用者輸入信用卡資料。圖片來源：Fortinet

此外，駭客利用Google雲端通訊服務，傳遞指令給App使用者監控遭到該勒索軟體Locker感染的Android裝置。Google雲端通訊服務原先是Google提供給Android App開發者的免費服務，可讓開發者透過此服務傳遞資料給App註冊的用戶。用戶也會透過Google雲端通訊服務回傳資料給應用程式開發者。駭客利用這項服務傳遞控制指令給Android用戶，例如鎖定或解除螢幕鎖定、新增或刪除聯絡人、發送簡訊和更新勒索軟體程式碼等多達20種類型的指令。

駭客利用Google雲端傳訊服務（GCM，綠色圖示）控制和命令註冊該App的用戶。圖片來源：Fortinet

Kai Lu發現，勒索軟體Locker會啟動http的請求來獲取更新檔，並且自動儲存在/sdcard/Download資料夾。Kai Lu認為，Google雲端通訊服務是一把雙刃劍。這款勒索軟體的攻擊方式，表明了駭客可以利用Google雲端通訊服務作為控制和指揮（Command and Control ，C&C）的基礎設施，而且未來也可能成為駭客操控的手段。