资安业者趋势科技最近发现新形态勒索病毒“LeakerLocker”,不加密受害者的档案,但会威胁泄漏手机个资;然而,如果手机联络人或通话记录不够多,恶意程式竟然会自动中止执行。
勒索病毒最主要的勒赎手段是将受害者的档案加密,然而最近却出现一个名为 LeakerLocker 的新形态手机勒索病毒,会将受害者手机上的个人资料传送至远端服务器,要求受害人支付赎金,否则就将资料发送给通讯录中的每一个人。
趋势科技部落格今天发文指出,这个 LeakerLocker 勒索病毒目前透过 3 个 Google Play 商店上的应用程序来散布,包括“Wallpapers Blur HD(散景桌布)”、“Booster & Cleaner Pro(系统优化清理程式)”以及“Calls Recorder(电话录音程式)”。
这 3 个应用程序目前都已被 Google Play 商店下架,趋势科技将该病毒命名为:ANDROIDOS_LEAKERLOCKER.HRX 。尽管并无证据显示这些应用程序是由同一作者所撰写,但这样的可能性却很高,因为它们全都散布同一个勒索病毒。
根据趋势科技的研究,当“Calls Recorder”应用程序下载并安装到使用者装置之后,首先会查看手机上的联络人、相片、通话记录等等来检查其数量是否超过一定门槛。换句话说,若受害手机上没有太多联络人、照片、通话记录的话,恶意程式将会放弃而中止执行。
如果上述检查过关,会暂时等候 15 分钟之后再继续执行,这是目前歹徒常用的一种躲避资安产品动态侦测技术的手法。等 15 分钟一到,Calls Recorder 就会开始检查使用者装置是否连上 Wi-Fi 无线网络。若有,它会暂时关闭无线网络,看看移动网络连线是否可用。如果无法使用移动网络,它的动作就到此为止。接着,它会把 Wi-Fi 恢复到先前状态。
Calls Recorder 会再检查受害手机的 InstallReferrerReceiver 元件,这是用来接收 Google Play 商店广播讯息的元件,一般用于追踪应用程序的安装管道。当受害手机在前述检查当中都过关之后,Calls Recorder 会试图连上“http://updatmaster.top/click.php”这个网址。如果成功连上,就会发送一个广播通知来触发恶意程式。
趋势科技部落格指出,这个病毒的关键是它可从网络上下载 Java 或 Jar 等恶意档案来执行,这表示它的恶意行为将千变万化,因此所有手机用户在安装及下载应用程序时都应尽量小心谨慎。
一个最好的方法就是在下载应用程序之前务必多看看别人对该程式的评论,并且仔细留意是否有任何评论透露出该程式可能有问题的征兆。此外,使用者也应随时保持装置更新,随时套用可用的修补。
(作者:吴家豪;首图来源:shutterstock)
