根據(jù)Kai Lu文章指出,用戶啟動遭到勒索軟體Locker感染的App,會要求用戶授予此App管理員權限。當用戶授權後,勒索軟體會立即發(fā)動勒索攻擊,鎖住使用者Android裝置的螢幕,造成用戶無法點選其他應用程式或是首頁解除,僅能使用鍵盤功能。接著,螢幕出現(xiàn)要求用戶輸入信用卡資料支付贖金的畫面,并且同時竊取用戶的銀行資料。
惡意軟體Android/Locker.FK!tr植入偽裝的Android App之中。圖片來源:Fortinet
然而,根據(jù)資安部落格BLEEPINGCOMPUTER說明,駭客索取的金額都是超過手機價格的10倍和100倍之間,大部分的用戶遇到此情形,會選擇購買新的手機,較不愿意支付駭客贖金。
螢幕出現(xiàn)勒索用戶贖金的畫面,要求使用者輸入信用卡資料。圖片來源:Fortinet
此外,駭客利用Google云端通訊服務,傳遞指令給App使用者監(jiān)控遭到該勒索軟體Locker感染的Android裝置。Google云端通訊服務原先是Google提供給Android App開發(fā)者的免費服務,可讓開發(fā)者透過此服務傳遞資料給App注冊的用戶。用戶也會透過Google云端通訊服務回傳資料給應用程式開發(fā)者。駭客利用這項服務傳遞控制指令給Android用戶,例如鎖定或解除螢幕鎖定、新增或刪除聯(lián)絡人、發(fā)送簡訊和更新勒索軟體程式碼等多達20種類型的指令。
駭客利用Google云端傳訊服務(GCM,綠色圖示)控制和命令注冊該App的用戶。圖片來源:Fortinet
Kai Lu發(fā)現(xiàn),勒索軟體Locker會啟動http的請求來獲取更新檔,并且自動儲存在/sdcard/Download資料夾。Kai Lu認為,Google云端通訊服務是一把雙刃劍。這款勒索軟體的攻擊方式,表明了駭客可以利用Google云端通訊服務作為控制和指揮(Command and Control ,C&C)的基礎設施,而且未來也可能成為駭客操控的手段。
