安全研究人员发现一只新型勒索软件专找Android用户下手,通过短信感染手机通讯录中的联系人。
安全厂商ESET研究人员Lukas Stefanko 7月中发现这款名为Android/Filecoder.C的新型勒索软件,出现在Reddit和Android开发者论坛XDA Developer上,再通过受害者手机大量传播。一开始,黑客在前述二个网站发布色情或技术主题的内容连接、QR code或短网址,引诱用户连到两个由攻击者控制的域名以下载恶意程序。一旦下载到Android手机上,Filecoder.C就会加密手机上大部分的用户文件要求赎金,同时发送大宗短信将恶意连接给受害者手机内的联系人数据,以便进一步传播。
这些短信消息十分逼真,例如其中一则附上一帧以某用户照片加工的照片,使接到短信的人误以照片被移花接木用于色情图片上而急忙点入连接。研究人员分析从6月到7月,已有59个人被bit.ly短网址骗入这个恶意网站。且为了扩大感染,Filecoder.C还有42种语言版本的消息样板。在发送消息出去给友人会选择和设备设置相同的语言,同时还会在信件开头加上联系人姓名,使信件更定制化。
当不知情的友人接到短信并且点入连接后,会被导向一个恶意app,受害者必须手动安装。一旦app打开后就会如实显示被加工的色情照片。这其实是一个色情仿真线上游戏的成品。但其实恶意的还在后头:这个过程主要下载Filecoder.C,它有多项能力,其中即搜索用户通讯录大量发送前述的短信。
不过它主要目的是创建C&C连接,并找到设备磁盘空间,将几乎所有文件全部加密,然后勒索价值94到188美金的比特币。但系统文件、.zip、.rar、小于150KB的.jpeg/.jpg/.png档,以及大于50MB的文件则不会加密。用户或许能移除该app,但是却无法解密。
研究人员一度以为Filecoder.C程序代码中包含写死的密钥,第三方高手可能解密文件,因此影响有限。但是研究人员周二修正说法,指出这个密钥是破解难度极高的RSA-1024公钥。这表示感染后,想不付钱救回文件几乎不可能。