Android恶意软件使用冠状病毒进行色情和勒索软件组合

上周晚些时候,网络情报公司DomainTools的研究人员警告了一个引起我们注意的Android 恶意软件样本。 就像这些日前进行的其他许多网络威胁一样,犯罪分子以冠状病毒大流行为诱饵,提供了一种令人着迷的令人毛骨悚然的应用程序,称为COVID 19 TRACKER。
恶意软件应用程序的吸引人图标
该应用程序可“跟踪您的街道,城市和州的实时冠状病毒爆发”,并表示将“获取有关100多个国家/地区周围冠状病毒爆发的实时统计信息”。
从Android浏览时的主要恶意软件登录页面
准确地说,如果您要注意错误的赠与,它实际上表示您已爆发病毒,这是语法和拼写错误,您可以在下面看到。 当然,主流网站也会犯拼写错误,但是每一个提示都会有所帮助,因此请睁大眼睛留意那些可能是匆忙的骗子迹象的错误。 正如我们之前在以冠状病毒为主题的网络犯罪中看到的那样,犯罪分子添加了各种合法和有用信息源的徽标:
左:从Android浏览时的主要恶意软件登录页面 右:带有欺诈性“证明”声明的下载按钮
这次,他们声称自己的应用已获得美国教育部,世界卫生组织(WHO)和美国疾病控制与预防中心(CDC)的“认证”。 (不,这不是上面的错字:CDC在许多主要地点进行运营和研究,因此名称是复数形式。) 如果您想知道为什么在100多个国家/地区中跟踪冠状病毒感染的功能看起来像赢家的金杯,上面印有数字“ 1”,那是因为骗子掠夺了各种合法应用程序和品牌的水ech徽标,版式创意,图标等在其代码中使用。 骗子粗制滥造的营销材料来自一个不相关的Google Play应用的页面,该应用的确获得了4.4星的评价:
左:恶意软件作者重新利用了被剥离的网站内容 右:来自无关的Google Play应用的原始营销

该应用程序如何?

从上面的屏幕快照中可以看到,“ tracker应用”不是来自Google Play,因为它无法进入。 相反,您必须通过单击骗子的[DOWNLOAD APK]按钮直接从骗子的网站上下载该文件,以使其脱离市场。 首次运行该应用程序时,它会要求您授予各种权限,这些权限可能会让您感到可疑,但似乎并不太令人讨厌,因为它可以在您四处走动时提醒您有关冠状病毒的警报。 特别是,该应用程序希望在后台运行,具有锁屏访问权限并使用Android的辅助功能,如下所示:
左:立即请求后台权限 右:在应用程序屏幕上单击[扫描]按钮要求您首先授予更多权限
尽管该恶意软件声称需要锁屏访问才能为您提供“当冠状病毒患者在您附近时立即发出警报”,但这是虚假的,原因有两个。 首先,即使该应用使用的是实时下载的最新冠状病毒统计信息,它也无法确定路过的任何人的传染状况,因此将其称为“功能”。 其次,您不需要“锁屏访问”即可将通知发送到锁屏,该通知由用户控制,用户可以从手机的设置中选择在手机被锁定时显示什么样的通知。 实际上,该恶意软件需要所谓的device admin权限,如下面的屏幕快照所示。 Google 自己在文档中将其描述为允许“在系统级别使用设备管理功能,以便您创建对企业设置有用的安全意识应用程序”的功能。 同样,如果该应用程序为正版,则不需要它所要求的Accessiblity权限。 这些功能旨在供屏幕阅读器之类的软件使用(显然需要访问其他应用程序的屏幕内容),并且在Google Play上允许安全应用使用这些功能,这些应用程序有理由按顺序查找诸如网络链接之类的数据寻找恶意网站。 该应用声称通过提及“活动统计监视”来需要访问权限,但一个合法程序将通过下载和处理自身来获取数据,而不是“偷偷摸摸”并从其他应用中窃取。
左:恶意软件需要设备管理员的权限,尽管锁屏通知不需要它们; 右:恶意软件使用辅助功能来跟踪您的应用使用情况

接下来发生什么?

该恶意软件想要在后台运行,监视您正在运行的其他应用并作为设备管理员进行干预的真正原因…… …鉴于本文的标题,可能相当明显。 除其他事项外,它会跟踪您在前台使用的应用程序,并在您尝试使用手机的大多数正常功能(包括拨打电话,获取和发送消息以及访问“ 设置”页面)后立即接管控制权。 和设置页面可能正是你想尽快去为恶意软件踢,这是在大约发射大多数应用程序的第二个作用:
该恶意软件会通过勒索需求将其完全覆盖,从而使您无法进入大多数应用程序。 需求将勒索与勒索软件混在一起。
如您所见,这是色情和勒索软件的结合-由于屏幕持续弹出,您被锁定在设备之外,但有可能将个人视频和照片泄露给家人,这有助增加付清。 一旦被感染,您就无法访问设置(实际上您可以在其中杀死并卸载恶意软件),而这种攻击让人想起Reveton(最早出现的手机“屏幕锁”勒索软件变体之一)早在2012年。 具有讽刺意味的是,即使您可以使用该恶意软件上网并寻求有关清除方法的建议,该恶意软件也请注意不要阻止您的浏览器。 这是因为恶意软件本身依靠浏览器加载其自己的“这是如何工作的”页面,该页面托管在免费的数据共享网站Pastebin上:
有关支付多少以及与谁联系的说明

如何清理

幸运的是,至少在我们对此样本进行的实验中,恶意软件相当容易用手删除。 我们的文件完好无损,恶意软件依靠其快速弹出屏幕将您锁定在设备之外,并且据我们所知,如果您将其个人数据泄露给朋友和家人,将会受到威胁不付款完全是空的。 换句话说,如果您可以删除该应用程序,使其不再干扰手机的使用,那么您基本上就可以免费上门了。 骗子很懒惰,并将解锁代码硬编码到他们的应用程序中,从而提供了一个快速解决方案:
恶意软件中的硬编码解锁PIN
当我们在10位代码类型4865083501,你看到enter decryption code上面显示的勒索页面,恶意软件阻止停止我们的其他应用程序的访问。 但是请注意,解锁代码实际上并不能停止恶意软件并将其卸载! (骗子们很adb logcat容易在他们的应用程序中留下了日志记录代码,因此即使我们输入了解锁代码,我们也可以使用Android开发工具来观察该应用程序继续滥用其可访问性权限来跟踪我们使用它们的应用程序。) 但是在输入解锁代码后,我们可以访问“ 设置”页面,删除恶意软件的设备管理员权限并将其卸载。 我们使用“设置” >“ 应用程序和通知” >“ 查看所有N个应用程序”访问“ 应用程序信息”页面,该页面位于我们的Coronavirus Tracker应用程序中:
左:顶级应用程序信息页面 右:恶意软件显示为“ Coronavirus Tracker”
我们点击了恶意软件条目以打开其自己的应用程序信息页面,在该页面中,我们使用系统的“ 卸载”按钮转到“ 停用和卸载”选项,系统将通过该选项将应用程序从其device admin角色降级(这可防止常规卸载),然后去掉它:
左:系统“应用程序信息”页面上的[卸载]按钮 右:从此处卸载可让您一次性删除设备管理员和应用程序
我们还尝试了在大多数后台应用程序都不运行的安全模式下重新启动手机,以查看是否可以在不依赖解锁代码的情况下删除恶意软件-即使我们知道此示例的正确代码,但在恶意软件的其他变体。 此外,在恶意软件仍处于活动状态时尝试将其删除并跟踪您在设备上的活动情况时,还有一些吸引人的地方。 在我们的电话,安全模式是通过按住电源按钮,直到重新启动菜单出现,然后按住电源关闭图标一两秒钟,直至被激活的安全模式菜单出现。 重新启动后,文本Safe mode显示在屏幕的左下方;恶意软件没有启动;我们可以使用与上述相同的步骤来查找,停用和卸载恶意软件。

该怎么办?

并非所有的移动恶意软件都很容易消除,如今,大多数勒索软件不再仅仅锁定您的设备,而且还对文件进行加密,以便它们也需要解密。 而且,许多骗子已经学会了不要使用密码来捷径,因此在恶意软件代码中找到解锁密钥是不寻常的。 因此,最好的选择是不要让您的Android首先受到感染。
  • 坚持使用Google Play。它不是完美的,但几乎肯定不会接受此应用程序,这不仅是因为其冠状病毒主题,而且还因为其公然滥用权限。
  • 除了标准的内置保护之外,还请使用第三方防病毒软件。 Sophos Intercept X for Mobile是免费的,它不仅可以阻止恶意软件在任何地方(无论您从何处下载)都首先运行,而且可以使您远离危险的网站。
  • 永远不要相信应用程式本身的宣传。在这种情况下,骗子只是从现有应用程序中窃取了营销历史,并声称其为自己的应用程序,并获得了好评。现场审查在很大程度上没有意义,它们可能来自任何地方,而且可能做到了。如果您需要建议,请询问您真正认识并信任的人。
  • 除非应用确实需要,否则请勿授予其权限。即使功能已经有限,即使您已经放弃了一些权限,行为却还不错的应用程序仍然可以正常工作,因此,该恶意软件的欺骗性要求是在运行之前就要求不合理的权限。
哦,以防万一,让您感觉更好,骗子已经收到了上面Pastebin页中显示的比特币地址中的总金额… …为零。
0 0 vote
Article Rating

未经允许不得转载:x-sec » Android恶意软件使用冠状病毒进行色情和勒索软件组合

赞 (0) 打赏

This site uses Akismet to reduce spam. Learn how your comment data is processed.

0 Comments
Inline Feedbacks
View all comments

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

0
Would love your thoughts, please comment.x
()
x