一个Android的勒索软件的新变种,依靠即时通讯协议XMPP与C&C服务器建立通信。
根据安全研究人员在检查软件时发现一个新的Android勒索软件用技术手段伪装成视频播放器,这个勒索软件实现了一个新的不同于其他任何勒索软件的通信方法。
这个Android勒索软件是不同于任何其他的即时通讯协议的,它使用XMPP(可扩展消息传递和到场协议)与C&C服务器建立通信。
“我们发现勒索软件样本采用不同的方法进行通信。它采用了常见的即时通讯协议XMPP(可扩展消息传递和到场协议)从被感染的设备发送信息和接收指令,如用一个给定的密钥加密用户的文件,发送短信,拨打一个电话号码等”在美国发布的一份报告中提到。“使用XMPP协议使它更加难以跟踪恶意软件与C&C服务器的交流信息,以及区别于其他合法的XMPP流量,也不能阻止监测到的可疑url。此外,这种技术使用外部库函数来处理通信,恶意软件不需要任何额外的应用程序安装在设备上。同时XMPP支持TLS,客户机和服务器之间的通信也会在本地加密。”
开始时,受害者下载Flash播放器应用程序安装,然后会感染,勒索软件会要求他们批准同意请求的权限,同时勒索软件会加密所有的移动设备上的数据。
据受害者声称Android设备上会显示赎金消息来自国家安全局,同时文本警告用户侵犯版权,如果受害者在48小时内不支付赎金,软件就会威胁要求用户交三倍的罚款,。这已经不是第一次骗子滥用国家安全局消息在社会里骗钱,勒索。
研究人员已经发现了用于控制Android 勒索软件的几十个XMPP账户已经被废除了。
“通过我们的研究,我们发现了XMPP相关被感染的几十个C&C账户。在过去几周里,我们已经通知相关XMPP服务器运营商把这些账户废除。这一行动将有效地破坏与任何当前被感染的客户端和防止恶意软件作者控制这些设备之间的通信。此外,新感染的这些样本设备却能逃过这次行动。不幸的是因为从这一运动检查出的新样本几乎每天都在出现。”
大多数被感染的设备是在美国,其次是亚洲。到目前为止,可能成千上万的设备已经被感染,根据检查点近百分之10的受害者得知,已经有部分用户支付费用给网络罪犯了。赎金范围从200美元到500美元之间。
专家们注意到,骗子精心赎金的消息基于受害者的地理位置以及更可信的国家安全局的消息。
作者看了一下报告,它充满了Android勒索软件的详细信息,其中也包括妥协的用户指标。
文章原文链接:https://www.anquanke.com/post/id/82373