示意圖,與新聞事件無關。

惡意程式安全公司Zscaler發現,一隻Android勒贖軟體運用極為高明的手法,能感染合法App下載到用戶裝置上,同時潛伏4小時躲避所有防毒軟體的偵測。 

Zscale下的ThreatLabZ小組研究人員發現,這隻未命名的Android勒贖軟體來自俄羅斯,專門鎖定知名app執行一系列自動化程序加以感染。其中一個寄生的app俄羅斯最受歡迎的娛樂社群app OK,後者在Google Play Store下載數達5000萬到1億次。它會先反組譯目標app,在其AndroidManifest.xml檔注入必要的指令及Activity/BroadcastReceiver變項、複製圖檔及layout檔,再寫入勒贖軟體的勒贖文字、字串及攻擊程式感染apk,等待受害者上門。 

不知情的用戶將app下載到行動裝置中後數小時,這隻勒贖軟體會展開看似普通的勒贖過程。首先,用戶會看到一個對話框,當中提供數種惡意行為的啟動選項。如果用戶按下「取消」選項,這個對話框會立即再出現,讓使用者沒有時間採取任何動作或卸載app。若用戶按下「啟動」鍵,手機螢幕會立即被鎖定,發出訊息通知外部C&C伺服器,同時出現勒贖文字,以用戶造訪兒童色情內容遭到鎖定,要求用戶在12小時內支付500盧布作為罰金,用戶若未付贖金,歹徒就會將用戶行徑公諸於世,而嘗試解鎖者則可能遭到整支手機被鎖,以及個人資料被貼上網的懲罰。 

這隻惡意程式手法看起來沒什麼了不起,但它有項超越其他勒贖軟體的能力。研究人員指出,它對外連接的C&C伺服器IP位址、電話號碼皆以AES (Advanced Encryption Standard)加密,而且它所注入的字串、方法及變項都被混淆而難以理解,同時大部份方法是以Java映射(Java Reflection)機制呼叫來躲過防毒軟體的狀態分析偵測。 

此外,由於大部份防毒程式會針對app行為執行數秒到數分鐘的偵測,這隻惡意程式碼竟然會蟄伏4小時後才開始活動,藉此躲避防毒軟體的動態分析。 

而更糟的是,研究人員發現這隻勒贖軟體並沒有證實用戶是否付款的機制。也就是說,即使用戶付了錢也無法解鎖。 

Zscale表示,從這隻勒贖程式高明感染手法來看,可以想見Google Play Store上應該已有不少合法app受害。所幸中毒解決方法並不難;只要將手機或平板在安全模式下重新開機,移除被勒贖軟體感染app的裝置管理員權限後,將app卸載,再重新以一般模式開機即可。目前Google Play上也未發現有其他新變種。


Advertisement

更多 iThome相關內容