北京
一款名為DroidLock的新型安卓惡意軟件被安全人員發(fā)現(xiàn),該軟件不僅能鎖屏勒索受害者贖金,還可獲取短信、通話記錄、聯(lián)系人、音頻錄音等信息,甚至能直接刪除設備數(shù)據(jù)。
DroidLock支持攻擊者通過虛擬網絡計算共享系統(tǒng)獲得設備的完全控制權,同時還能在屏幕上生成懸浮層,以此竊取用戶的鎖屏圖案。
研究人員指出,這款惡意軟件的攻擊目標為西班牙語用戶,其傳播渠道為惡意網站——這些網站通過推廣仿冒合法應用的虛假安裝包,誘導用戶下載安裝。
據(jù)了解,該惡意軟件的感染流程始于一個投放程序,它會誘騙用戶安裝包含核心惡意載荷的次級程序。
Loader 應用(頂部)和 DroidLock 應用(底部)
惡意應用會以“應用更新”為借口植入主惡意載荷,隨后申請設備管理員權限與輔助功能權限,憑借這些權限實施各類惡意操作。
借助已獲取的權限,DroidLock可執(zhí)行多種惡意行為,包括清空設備數(shù)據(jù)、鎖定設備、修改個人識別碼(PIN)、密碼或生物識別信息,以此阻止用戶訪問自己的設備。
分析顯示,DroidLock內置15條可執(zhí)行命令,涵蓋發(fā)送通知、在屏幕生成懸浮層、靜音設備、恢復出廠設置、啟動攝像頭、卸載應用等操作。
DroidLock 支持的命令
一旦接收到對應的勒索指令,該惡意軟件會通過網頁視圖立即彈出勒索懸浮窗口,要求受害者通過一個Proton郵箱地址聯(lián)系攻擊者。若受害者未能在24小時內支付贖金,攻擊者便威脅會永久銷毀設備內的文件。
DroidLock的勒索覆蓋
DroidLock并不會對文件進行加密,而是以銷毀文件為要挾索要贖金,最終達成與傳統(tǒng)勒索軟件相同的目的。除此之外,攻擊者還可通過修改設備鎖屏密碼,完全剝奪用戶對設備的訪問權限。
該惡意軟件竊取鎖屏圖案的功能,是通過加載惡意安裝包資源目錄中的另一懸浮層實現(xiàn)的。當用戶在這個仿冒的鎖屏界面繪制解鎖圖案時,圖案信息會被直接發(fā)送給攻擊者。攻擊者設計這一功能,是為了能在設備閑置時段通過VNC實現(xiàn)遠程訪問。
安全人員建議安卓用戶:若非來源絕對可信,切勿從谷歌應用商店外的渠道下載安裝APK文件;安裝應用時,務必核查其申請的權限是否與功能匹配;同時應定期使用谷歌應用防護服務對設備進行安全掃描。
參考及來源:ttps://www.bleepingcomputer.com/news/security/new-droidlock-malware-locks-android-devices-and-demands-a-ransom/
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發(fā)布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
