Android勒索軟體利用Tor隱藏C&C通訊
不久前我們介紹過不給錢就讓手機變磚塊!勒索集團威脅瀏覽色情網站 Android手機用戶,最近出現在行動威脅環境的勒索軟體現在有了新發展:利用TOR(The Onion Router)匿名服務來隱藏C&C通訊。
根據趨勢科技偵測為AndroidOS_Locker.HBT的樣本分析,我們發現這惡意軟體會出現畫面通知使用者設備已經被鎖住,需要支付1000盧布的贖金來解鎖。該畫面還指出,不支付將會導致在行動設備上的所有資料被破壞。
我們所看到會出現這些行為的應用程式樣本出現第三方應用程式商店,盜用名稱像是Sex xonix、Release、Locker、VPlayer、FLVplayer、DayWeekBar和Video Player。使用這些名稱的非惡意版本應用程式可以從各種不同應用程式商店下載。
底下是顯示給使用者的警告訊息,使用的是俄文:
圖一、給使用者的警告訊息(點擊放大)
下面是警告訊息的粗略翻譯:
因為下載和安裝軟體nelitsenzionnnogo,你的手機已經依照俄羅斯聯邦軍事準則民法第1252條加以鎖住。
要解鎖你的手機需支付1000盧布。
你有48小時的時間支付,否則你手機上的所有資料將永久被破壞!
1. 找到最近的QIWI終端支付系統
2. 使用該終端機器,並選擇補充QIWI VISA WALLET
3. 輸入號碼79660624806,然後按下一步
4. 會出現留言視窗 – 輸入你的號碼去掉7ki
5. 將錢放入終端機,然後按支付
6. 收到付款後的24小時內,你的手機將會被解鎖。
7. 你可以透過行動商店和Messenger Euronetwork支付
注意:試圖自己解開手機會導致手機完全被鎖住,所有消失的資料沒有機會回復。