仿冒CyberPunk2077的勒索软件
近期暗影安全实验室发现黑客在一个假冒GooglePlay的钓鱼网站上分发勒索软件,该勒索软件仿冒Cyberpunk 2077(即赛博朋克2077,是近期最热门的一款角色扮演游戏)。黑客利用该游戏的热度分发勒索软件以加密用户文件胁迫用户支付比特币。http://i1.go2yd.com/image.php?url=0SW2Vtdi6H&zhiwu55.jpg图1-1 分发勒索软件的钓鱼网站图Google Play应用商店:
http://i1.go2yd.com/image.php?url=0SW2VtlREt&zhiwu55.jpg图1-2 Google Play上正版应用正版应用和仿冒应用图标对比:
http://i1.go2yd.com/image.php?url=0SW2Vt9wHG&zhiwu55.jpg
图1-3 图标对比
黑客对正版Cyberpunk2077应用进行了反编译,并对内部代码进行了修改,加入了勒索恶意代码。
http://i1.go2yd.com/image.php?url=0SW2VtdE6O&zhiwu55.jpg图 1-4 资源文件对比1. 技术分析应用启动休眠30s后启动勒索活动:
http://i1.go2yd.com/image.php?url=0SW2VtR3pY&zhiwu55.jpg图1-4 休眠30s启动勒索活动首先检测对用户设备文件的读写权限,如果应用未获得该权限,则弹窗申请权限:
http://i1.go2yd.com/image.php?url=0SW2VtGoF5&zhiwu55.jpg图1-5 检测文件读写权限获取权限后,该勒索病毒遍历用户设备的mnt、mount、sdcard、storage目录。
http://i1.go2yd.com/image.php?url=0SW2VtEeDt&zhiwu55.jpg图1-6 遍历文件目录在每个文件目录下创建README.txt文件,并在文件内写入勒索提示语句。
http://i1.go2yd.com/image.php?url=0SW2VtnHcG&zhiwu55.jpg图1-7 README.txt文件内容对每个文件进行加密,并对已加密文件添加.codeCrypt文件后缀,删除原文件。加密文件key:21983453453435435738912738921。
http://i1.go2yd.com/image.php?url=0SW2Vtl5xe&zhiwu55.jpg图1-8 加密文件,添加.codeCrypt文件后缀http://i1.go2yd.com/image.php?url=0SW2VtTSou&zhiwu55.jpg图1-9 设备文件已被加密文件加密算法:
http://i1.go2yd.com/image.php?url=0SW2VtFKat&zhiwu55.jpg图1-10 自定义加密算法在应用屏幕显示勒索文档,要求用户支付500$比特币,不然文件将在10小时后被删除,代码内并未发现10小时后删除文件的行为,用户支付比特币后便可获得解密密钥和代码。
Email:alrescodercry@protonmail.com
telegram : @Codersan
URL:http://buy.moonpay.io
http://i1.go2yd.com/image.php?url=0SW2VtenH5&zhiwu55.jpg
图1-11 勒索文档
2. 服务器列表http://i1.go2yd.com/image.php?url=0SW2VtjtnP&zhiwu55.jpg3. 安全建议用户安装所需软件,建议去正规的应用市场下载、去官方下载。
在手机当中安装必要的安全软件,并保持安全软件更新。
http://i1.go2yd.com/image.php?url=0SW2Vt4HLz&zhiwu55.jpghttp://i1.go2yd.com/image.php?url=0SW2Vt6BNm&zhiwu55.jpg 元芳你怎么看? 大人,此事必有蹊跷! 支持,赞一个 不错,顶一个!
页:
[1]