新兴的勒索软件以 Android 设备上的照片和视频为目标


CryCryptor恶意软件是一种全新的威胁,它可利用COVID-19进行传播。

加拿大出现了一种新的勒索软件,目标是Android用户,并锁定了个人照片和视频。

它最初被称为CryCryptor,被假装成加拿大卫生部提供的官方COVID-19追踪应用程序。据ESET研究人员称,它是通过伪装成两个官方网站的虚假网站来进行传播的——其中一个称为tracershield[dot]ca。

与其他勒索软件系列一样,它会加密目标文件。但是,CryCryptor不是简单地锁定设备,而是在每个目录中都留下了一个“自述文件”,其中包含攻击者的电子邮件。在GitHub上也容易找到它的开源代码。

当有人启动恶意应用程序时,它会请求访问设备上的文件。之后,它会使用随机生成的16个字符的密钥,也会使用AES对选定的文件进行加密。

据ESET称,“CryCryptor加密一个文件后,会创建三个新文件,原始文件会被删除”。”加密文件具有文件扩展名.enc,相应的算法会为每个加密文件生成一个唯一的salt,以扩展名. enc.salt存储,并进行初始化向量。
有趣的是,目标文件包括照片和视频。

“该攻击包括文件类型扩展名,例如.jpg,.png和.avi。KnowBe4的安全意识倡导者Erich Kron通过电子邮件分析。“通过加密手机外部存储器上的照片和视频,攻击者就可以将照片和视频变成个人信息,并试图提高他们的支付概率。人们倾向于在他们的设备上保存大量个人照片,这使得他们成为首要目标。”

一旦加密完成,研究人员发现CryCryptor会显示一个通知,上面写着:“个人文件已加密,请参阅自述文件。”该自述文件会放在每个包含加密文件的目录中。

ESET的研究人员通过简单的搜索发现了GitHub存储库,库里包含“基于应用的包名和一些看起来独特的字符串。”

开发人员试图将这个名为CryDroid的项目伪装成合法项目,并声称已将代码上传到病毒总数服务。

“他们一定知道这些代码会被用于恶意目的,”据ESET报道。“我们否认该项目有研究目的的说法——没有一个负责任的研究人员会公开发布容易被恶意滥用的工具。”

由于恶意应用程序的编码存在缺陷,研究人员能够创建一个解密工具。

研究人员在周三的一篇帖子中表示:“我们发现了将这款软件带到我们探测器上的推文(发现它的研究人员错误地将这款恶意软件标记为银行木马),之后我们分析了这款应用。”,“我们发现了一个‘安卓组件不当导出’类型的缺陷,MITRE称之为CWE-926。”

据MITRE称,当一个安卓应用程序“导出一个组件供其他应用程序使用,但并没有适当限制哪些应用程序可以启动该组件或访问其中包含的数据”时,就会出现这种类型的错误,被列为“安卓应用程序组件的不当导出”。

由于应用程序中的缺陷,安装在受影响设备上的任何其他应用程序都可以启动恶意软件提供的任何导出服务。

据ESET称,“这让我们能够创建解密工具——一个应用程序,它启动了由它的创建者构建在恶意软件应用程序中的解密功能”。

像其他恶意软件一样,CryCryptor也在寻求利用政府推出的COVID-19追踪应用来对抗这一流行病。加拿大政府正式宣布创建一个名为COVID Alert的全国性自愿追踪应用,将于7月在Ontario省推出测试。几天后,新的恶意软件浮出水面。

另一种新的恶意软件最近被发现使用相同的策略。“Unicorn”恶意软件在五月出现,它伪装成意大利官方的冠状病毒追踪应用“Immuni”。真正的测试版正在全国范围内推出;这个假的应用程序包含一个恶意的可执行文件,据称来自意大利药剂师联合会(FOFI)。

“最成功的网络钓鱼活动是利用一个热门的、有压力的事件来为与受害者的交流搭建舞台,以提高其有效性。”eSentire高级威胁分析总监Rob McLeod通过电子邮件评论说。

他补充道,“COVID-19为网络犯罪分子开展这些行动提供了理想的背景。用户可能会对网络钓鱼攻击很熟悉,CryCrypto并不是第一个野生的安卓软件。对于移动设备环境中的大多数用户而言,不同之处在于暴露了通常与网络钓鱼攻击无关的通信媒介。这包括语音、短信、消息应用程序和社交媒体渠道,攻击者可以在这些渠道中与潜在的受害者交流,诱使他们安装非法应用程序。”

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!