据外媒 8 月 2 日报道,趋势科技( Trend Micro )研究人员于 7 月首次发现模仿 WannaCry 的 GUI( 图形用户界面)的 Android 勒索软件 SLocker 新变种滥用社交网络 QQ 服务与锁屏功能肆意感染移动设备。目前,警方已逮捕 SLocker 开发人员,但其他非法操作人员仍逍遥法外。
调查显示,多数攻击者主要利用移动端 QQ 聊天讨论组 “ 钱来了 ” 或 “ 王者荣耀修改器 ”传播 SLocker 新变种。“ 王者荣耀 ” 是当前中国市场最受欢迎的网络游戏之一,拥有 2 亿注册用户。
图1. 赎金票据截图
SLocker 新变种除利用 GUI 诱导用户下载勒索软件外,还在内部设计上作出部分更改,即具备变换设备壁纸功能。由于 SLocker 新变种使用 Android 集成开发环境(AIDE)创建,因此可直接用于 Android 设备开发应用程序。值得注意的是,攻击者利用 AIDE 环境更加容易开发简单的 Android 工具包(APK),以吸引更多新用户输出其他变种。此外,勒索软件供应商还可使用合法云存储服务(bmob)更改解密密钥。
尽管该变种新附加功能看上去更为高级,但实际加密过程并不复杂。与上一版本使用 HTTP、TOR 或 XMP P与 C&C 远程服务器进行通信相比,此变种甚至不使用任何 C&C 通信技术。研究人员分析勒索软件样本后发现,一旦受感染设备执行命令,SLocker 新变种将加密目标 SD 卡中包括缓存、系统日志与 tmp 文件在内的所有文件类型。另外,SLocker 新变种似乎还使用 AES 算法与过时的 DES 算法加密文件数据。
图2. DES 加密算法的代码片段
或许是为了弥补加密 SD 卡所有文件类型这一缺陷,该变种还具备持久锁屏功能。如果受害者点击赎金缴纳界面的 “ 解密 ” 按键,将会出现管理员页面;如果点击 “ 取消 ”,攻击者就会持续劫持用户屏幕;如果点击 “ 激活 ”,该变体将重置设备 PIN 并进行锁屏。
相关数据表明,黑客目前并未放缓传播速率。研究人员建议移动用户从 Google Play 等合法应用商店下载应用、自行设置应用程序权限、定期备份数据并安装全方位傻毒软件。
附:原文报告《 新 WannaCry — SLocker 变种滥用 QQ 服务 》
原作者:Lorin Wu,译者:青楚,译审:游弋
from hackernews.cc.thanks for it.