根據(jù)Kai Lu文章指出,用戶啟動遭到勒索軟體Locker感染的App,會要求用戶授予此App管理員權(quán)限。當(dāng)用戶授權(quán)後,勒索軟體會立即發(fā)動勒索攻擊,鎖住使用者Android裝置的螢?zāi),造成用戶無法點(diǎn)選其他應(yīng)用程式或是首頁解除,僅能使用鍵盤功能。接著,螢?zāi)怀霈F(xiàn)要求用戶輸入信用卡資料支付贖金的畫面,并且同時(shí)竊取用戶的銀行資料。
惡意軟體Android/Locker.FK!tr植入偽裝的Android App之中。圖片來源:Fortinet
然而,根據(jù)資安部落格BLEEPINGCOMPUTER說明,駭客索取的金額都是超過手機(jī)價(jià)格的10倍和100倍之間,大部分的用戶遇到此情形,會選擇購買新的手機(jī),較不愿意支付駭客贖金。
螢?zāi)怀霈F(xiàn)勒索用戶贖金的畫面,要求使用者輸入信用卡資料。圖片來源:Fortinet
此外,駭客利用Google云端通訊服務(wù),傳遞指令給App使用者監(jiān)控遭到該勒索軟體Locker感染的Android裝置。Google云端通訊服務(wù)原先是Google提供給Android App開發(fā)者的免費(fèi)服務(wù),可讓開發(fā)者透過此服務(wù)傳遞資料給App注冊的用戶。用戶也會透過Google云端通訊服務(wù)回傳資料給應(yīng)用程式開發(fā)者。駭客利用這項(xiàng)服務(wù)傳遞控制指令給Android用戶,例如鎖定或解除螢?zāi)绘i定、新增或刪除聯(lián)絡(luò)人、發(fā)送簡訊和更新勒索軟體程式碼等多達(dá)20種類型的指令。
駭客利用Google云端傳訊服務(wù)(GCM,綠色圖示)控制和命令注冊該App的用戶。圖片來源:Fortinet
Kai Lu發(fā)現(xiàn),勒索軟體Locker會啟動http的請求來獲取更新檔,并且自動儲存在/sdcard/Download資料夾。Kai Lu認(rèn)為,Google云端通訊服務(wù)是一把雙刃劍。這款勒索軟體的攻擊方式,表明了駭客可以利用Google云端通訊服務(wù)作為控制和指揮(Command and Control ,C&C)的基礎(chǔ)設(shè)施,而且未來也可能成為駭客操控的手段。
