导语:我们最近在Google Play上发现了一种不加密文件的移动ransomware。这种恶意软件会要求被害者支付一笔款项,从而防止攻击者传播受害者的私人信息。

我们最近在Google Play上发现了一种不加密文件的移动ransomware。这种恶意软件会要求被害者支付一笔款项,从而防止攻击者传播受害者的私人信息。LeakerLocker声称对手机的敏感信息进行了未经授权的备份,这些信息可能泄露给用户的联系人,除非收到赎金。

1.png

McAfee Mobile Malware Research团队将此ransomware识别为Android / Ransom.LeakerLocker.A!Pkg。目前已经向谷歌进行了报告,他们们正在调查。

目前Google Play上有两个应用程序带有这种威胁。其中一个叫做“Wallpapers Blur HD”,已经下载了5000到10,000次之间。它最后更新于4月7日。从评论中我们可以看到,一个用户抱怨为什么壁纸应用程序请求不相关的权限,如电话,阅读和发送短信,访问联系人等。

 

1499767538498490.png

第二个恶意应用程序是“Booster&Cleaner Pro”,最后更新于6月28日。它目前已经被下载了1,000到5,000次之间。它的评分是4.5,远高于壁纸的3.6。然而,这个评级并不是一个安全指标,因为假的评论在欺诈性的应用程序中很常见。

1499767551499014.png

这两个木马提供了显然正常的功能,但它们隐藏了恶意的playload。

接下来我们来看看“Booster&Cleaner Pro”,了解一下这个隐藏的playload会发生什么。

4.png

首次执行时,恶意软件会显示Android boosters的典型功能。由于这种应用的性质,用户可能更愿意允许其获得几乎任何的权限。

引导完成后,接收器com.robocleansoft.boostvsclean.receivers.BoorReceiver启动AlarmManager,随后其他条件启动恶意活动com.robocleansoft.boostvsclean.AdActivity并锁定设备的屏幕。

LeakerLocker锁定主屏幕,并且由于受害者在安装时授予了权限所以它会在后台访问私人信息。它完全不需要任何的漏洞利用或低级欺骗,但它可以从其控制服务器远程加载.dex代码,使得其功能不可预测,扩展或停用,并且避免在某些环境中被检测出来。

事实上,并非所有恶意软件声称访问了私人数据就会真的被读取或泄漏。ransomware可以读取受害者的电子邮件地址,随机联系人,Chrome历史记录,一些短信和通话,从相机中选择一张照片,并阅读一些设备信息 – 我们可以从以下JavaScript界面功能中看到:

5.png

所有这些信息随机选择通过JavaScript显示(在jpus.js中),并告诉受害者他们已经复制了大量数据。一个WebView会在设备锁定后出现。

6.png

此时,原始应用程序中的代码尚未传输信息,但如果控制服务器提供另一个.dex文件,则可能会发生传输。

当受害者输入信用卡号码并点击“付款”时,代码会以卡号作为参数向付款URL发送请求。如果付款成功,则显示“我们的个人数据已从我们的服务器中删除,您的隐私被保护”的信息。“如果不成功,则显示”尚未付款。您的隐私处于危险之中。“付款网址来自服务器; 攻击者可以在服务器上设置不同的目标卡号。

1499767622179677.png

最后,我们建议受感染设备的用户不支付赎金:这样做有助于恶意业务的扩散,这将导致更多的攻击。此外,即使支付了赎金也不能保证信息就会被释放,并且很可能用于再次讹诈受害者。

哈希

A485F69D5E8EFEE151BF58DBDD9200B225C1CF2FF452C830AF062A73B5F3EC97
CD903FC02F88E45D01333B17AD077D9062316F289FDED74B5C8C1175FDCDB9D8
CB0A777E79BCEF4990159E1B6577649E1FCA632BFCA82CB619EEA0E4D7257E7B
B6BAE19379225086D90023F646E990456C49C92302CDABDCCBF8B43F8637083E
486F80EDFB1DEA13CDE87827B14491E93C189C26830B5350E31B07C787B29387

网址

hxxp://updatmaster.top/click.php cnv_id

http://goupdate.bid/click.php?cnv_id=

源链接

Hacking more

...