安全研究人员发现一只新型勒索软件,专找Android用户下手,透过短信感染手机通讯录中的联络人。安全厂商ESET研究人员Lukas Stefanko 7月中发现这款名为Android/Filecoder.C的新型勒索软件,出现在Reddit和Android 开发者论坛XDA Developer上,再透过受害者手机大量散布。
一开始,骇客在前述二个网站张贴色情或技术主题的内容连结、QR code或短网址,引诱使用者连到两个由攻击者控制的网域以下载恶意程式。一旦下载到Android手机上,Filecoder.C就会加密手机上大部份的用户档案要求赎金,同时发送大宗简讯将恶意连结给受害者手机内的联络人资料,以便进一步散布。
这些简讯讯息十分逼真,例如其中一则附上一帧以某用户相片加工的相片,使接到简讯的人误以照片被移花接木用于色情图片上而急忙点入连结。研究人员分析从6月到7月,已有59个人被bit.ly短网址骗入这个恶意网站。且为了扩大感染,Filecoder.C还有42种语言版本的讯息样板。在传送讯息出去给友人会选择和装置设定相同的语言,同时还会在信件开头加上联络人姓名,使信件更客制化。
当不知情的友人接到简讯并且点入连结后,会被导向一个恶意app,受害者必须手动安装。一旦app开启后就会如实显示被加工的色情照片。这其实是一个色情模拟线上游戏的成品。但其实恶意的还在后头:这个过程主要下载Filecoder.C,它有多项能力,其中即搜寻用户通讯录大量寄发前述的简讯。
不过它主要目的是建立C&C连线,并找到装置磁碟空间,将几乎所有档案全部加密,然后勒索价值94到188美金的比特币。但系统档案、.zip、.rar、小于150KB的.jpeg/.jpg/.png档,以及大于50MB的档案则不会加密。使用者或许能移除该app,但是却无法解密。
研究人员一度以为Filecoder.C程式码中包含写死的金钥,第三方高手可能解密档案,因此影响有限。但是研究人员周二修正说法,指出这个金钥是破解难度极高的RSA-1024公钥。这表示感染后,想不付钱救回档案几乎不可能。
