导语:近日,卡巴斯基实验室的安全研究专家发现了一个已知的Android 恶意软件Faketoken现在也实现了类似勒索软件的能力。

近日,卡巴斯基实验室的安全研究专家发现了一个已知的Android 恶意软件Faketoken现在也实现了类似勒索软件的能力。据研究人员介绍Vxers在添加了文件加密的功能到传统的手机银行木马上之后,该恶意软件就是实现了窃取敏感数据并锁定用户手机SD卡上文件的功能,这种恶意软件的功能混合被称为是勒索软件中的“银行家”。

事实上,勒索软件的功能在手机银行木马上并不是个例,第一个被发现具有这种能力的是Svpeng恶意软件,它在2014年被发现。而现在移动设备上的勒索软件并不会限制人们去使用屏幕,但是同样会去加密文件。而卡巴斯基之前就发现了Faketoken,Faketoken的感染机制实际上非常令人感兴趣。

Faketoken勒索用户的详细过程

犯罪分子利用社交工程来感染智能手机,在网银会话中,基于计算机的木马病毒利用网络注入把请求种子植入被感染网页中,在此网页中可下载据称是执行安全交易所必需的安卓应用,但实际上链接会转至Faketoken。移动威胁一旦搭载上用户的智能手机,犯罪分子就能利用基于计算机的木马来访问受害者的银行帐户,Faketoken支持木马收集交易验证码,并将受害者的资金转入自己的帐户。

Faketoken钓鱼页面如下:

图片1.png

 

研究人员从7月以来就发现Faketoken也实现了文件加密功能,并且已经发布了成千上万的包含这一新特性的版本。

“我们已经成功地发现了几千个Faketoken安装包具有加密数据的能力,最早可以追溯到2016年7月。“卡巴斯基的一篇博客文章上这样写道。

需要注意的是Faketoken常常掩藏在各种程序和游戏下,并且经常模仿Adobe Flash Player。目前研究人员已经证实受害者已经超过16000人,他们来自27个国家,其中最为主要的几个国家分别为俄罗斯、乌克兰、德国以及泰国。

研究人员分析称

木马会从C&C服务器中接收加密密钥和初始化向量,加密的文件包括媒体文件(图片、音乐、视频)和文档。木马会将其变为扩展名为. cat的加密的文件。

不过,对于很多受害者来说也有一个非常好的消息,就是Faketoken使用的是AES对称加密算法来加密文件。而此次的事件事实上也凸显了一个现状,就是目前文件加密和移动恶意软件的开发人员并不是那么受欢迎,因为大多数人的文件往往在移动设备上会被上传到云上保存。

源链接

Hacking more

...