Злоумышленник, специализирующийся на системах Android, расширил свой бизнес по выпуску вредоносных программ как услуги (MaaS) за счет возможностей шифрования файлов для операций с программами-вымогателями.
Этот актер, которого исследователи назвали Люси Ганг, представляет собой русскоязычную команду, которая два года назад заявила о себе с помощью сервиса Black Rose Lucy, предлагающего возможности удаления ботнетов и вредоносных программ для устройств Android.
Нет спроса на криптовалюту
Новая функция позволяет клиентам сервиса шифровать файлы на зараженных устройствах и показывать в окне браузера записку с требованием выкупа 500 долларов. Сообщение якобы отправлено ФБР и обвиняет жертву в хранении контента для взрослых на мобильном устройстве.
Цель фальшивой записки ФБР – запугать жертву и заставить ее подчиниться запросу киберпреступников. Это явная попытка вымогательства, основанная на страхе юридических последствий за посещение веб-сайтов для взрослых и хранение непристойных файлов.
Кроме того, преступники говорят, что была сделана фотография лица жертвы и загружена в центр обработки данных ФБР по киберпреступлениям вместе с данными о местонахождении. Оплата ожидается через три дня с момента уведомления, в противном случае штраф утроится, предупреждает сообщение.
Что интересно, злоумышленник не берет криптовалюту. Вместо этого они требуют информацию о кредитной карте. Это необычно, поскольку операторы программ-вымогателей обычно наживаются, заставляя жертв платить выкуп в криптовалюте.
По данным исследователей из Check Point, которые обнаружили семейство вредоносных программ Black Rose Lucy в сентябре 2018 года, более 80 образцов новой версии были распространены в дикой природе через приложения для обмена мгновенными сообщениями и социальные сети.
Один из новых образцов был замечен Татьяной Шишковой, исследователем вредоносного ПО для Android в «Лаборатории Касперского», которая в феврале опубликовала в Твиттере список из четырех IP-адресов, используемых для управления и контроля (C2).
Используя диалоговое окно с предупреждением, Люси затем пытается обманом заставить жертву включить службу доступности , которая предназначена для пользователей с ограниченными возможностями, чтобы помочь им с различными задачами от имени установленных приложений.
Предупреждение призывает пользователя включить оптимизацию потокового видео, которая якобы позволяет воспроизводить видео на телефоне. Если уловка сработает, вредоносная программа получает разрешение на использование службы специальных возможностей.
«Внутри модуля MainActivity приложение запускает вредоносную службу, которая затем регистрирует BroadcastReceiver, который вызывается командой action.SCREEN_ON, а затем вызывает себя. Это используется для получения услуги «WakeLock», которая держит экран устройства включенным, и услуги «WifiLock», которая сохраняет включенным WIFI »- Check Point
Шифрование, дешифрование и самоудаление
Что касается шифрования, Люси сначала пытается получить все каталоги на устройстве. В случае сбоя ищет каталог «/ storage». Если и это не удается, вредоносная программа ищет папку «/ sdcard».
На следующем этапе он начинает шифрование данных в выбранном месте хранения и проверяет успешность операции, когда она завершается. Хазум сказал нам, что эта процедура не делает различий между файлами, если они могут быть зашифрованы / расшифрованы.
«В этой кампании мы не наблюдали таргетинга на конкретный тип файла. Все файлы были зашифрованы »- Авиран Хазум.
Интересно отметить, что во время процесса шифрования есть ложная информация. Ложный ключ генерируется с использованием алгоритма AES с постоянным начальным значением 0x100. Это может быть уловка разработчика вредоносного ПО или ошибка в коде.
Однако настоящий ключ шифрования состоит из данных первого сегмента SecretKeySpec и строки Key, взятой из SharedPreferences.
Функция, отвечающая за обработку файлов, использует их с выбранным каталогом файлов и логической переменной, которая переключается между режимами шифрования и дешифрования.
Люси хранит ключ дешифрования на устройстве в переменной SharedPreferences, говорит Хазум, добавляя, что «для доступа к данным другого приложения устройство должно быть рутировано, чего мы не предлагаем делать».
Анализ Check Point показывает, что после процесса дешифрования вредоносная программа отправляет журналы, чтобы сообщить, что все файлы были обработаны, а затем запускает команду для удаления.
Взгляд на команды, отправленные с C2, показывает, что Люси может совершать звонки, экспортировать список установленных приложений, удалять ключи шифрования или запускать удаленную оболочку на устройстве. Набор команд от C2, который распознает вредоносная программа.
По материалам – https://bdroid.ru/