Google雲端傳訊服務成駭客控制中心

圖片來源: 

Google Cloud Messaging

資安公司Fortinet研究人員Kai Lu於16日公布,有一款專門攻擊Android裝置的勒索軟體Locker,會鎖定螢幕要求使用者輸入信用卡資料。這款勒索軟體與過去發動勒索攻擊方式不同,它利用Google 雲端通訊服務(Google Cloud Messaging,GCM)發送命令操控遭到感染的Android裝置。Kai Lu認為,未來可能有更多駭客會利用Google雲端通訊服務發動勒索攻擊。

根據Kai Lu文章指出,用戶啟動遭到勒索軟體Locker感染的App,會要求用戶授予此App管理員權限。當用戶授權後,勒索軟體會立即發動勒索攻擊,鎖住使用者Android裝置的螢幕,造成用戶無法點選其他應用程式或是首頁解除,僅能使用鍵盤功能。接著,螢幕出現要求用戶輸入信用卡資料支付贖金的畫面,並且同時竊取用戶的銀行資料。

惡意軟體Android/Locker.FK!tr植入偽裝的Android App之中。圖片來源:Fortinet

 

然而,根據資安部落格BLEEPINGCOMPUTER說明,駭客索取的金額都是超過手機價格的10倍和100倍之間,大部分的用戶遇到此情形,會選擇購買新的手機,較不願意支付駭客贖金。

螢幕出現勒索用戶贖金的畫面,要求使用者輸入信用卡資料。圖片來源:Fortinet

此外,駭客利用Google雲端通訊服務,傳遞指令給App使用者監控遭到該勒索軟體Locker感染的Android裝置。Google雲端通訊服務原先是Google提供給Android App開發者的免費服務,可讓開發者透過此服務傳遞資料給App註冊的用戶。用戶也會透過Google雲端通訊服務回傳資料給應用程式開發者。駭客利用這項服務傳遞控制指令給Android用戶,例如鎖定或解除螢幕鎖定、新增或刪除聯絡人、發送簡訊和更新勒索軟體程式碼等多達20種類型的指令。

駭客利用Google雲端傳訊服務(GCM,綠色圖示)控制和命令註冊該App的用戶。圖片來源:Fortinet

 

Kai Lu發現,勒索軟體Locker會啟動http的請求來獲取更新檔,並且自動儲存在/sdcard/Download資料夾。Kai Lu認為,Google雲端通訊服務是一把雙刃劍。這款勒索軟體的攻擊方式,表明了駭客可以利用Google雲端通訊服務作為控制和指揮(Command and Control ,C&C)的基礎設施,而且未來也可能成為駭客操控的手段。


Advertisement

更多 iThome相關內容