隨著移動設備的大范圍普及,針對移動設備的勒索軟件攻擊數(shù)量也隨之大增。
近日,賽門鐵克發(fā)現(xiàn)已知勒索軟件家族Android.Lockdroid.E的若干變種,這些變種利用 Andriod集成開發(fā)環(huán)境 (AIDE),可在Android設備上直接開發(fā)而成。當前,有少部分Android勒索軟件開發(fā)者群體在采用這種新的開發(fā)技術。然而,在移動設備中創(chuàng)建惡意軟件很可能為未來惡意軟件的創(chuàng)建開辟新的途徑。
什么是快速應用開發(fā)?
在移動設備中創(chuàng)建新的勒索軟件所使用的技術相對較新。勒索軟件由軟件開發(fā)中的“快速應用開發(fā)”(RAD) 模型創(chuàng)建而成。該方法通常受到用戶界面需求推動,用于開發(fā)需要快速成型的軟件。正因為該方法依賴于強大的圖形用戶界面 (GUI),所以十分適合開發(fā)移動應用程序。 利用 GUI構建器,RAD模型能夠更輕松地構建應用,通過拖放式向?qū)Чδ芸捎糜跇嫿ń缑婧蛻谩<砷_發(fā)環(huán)境 (IDEs)是RAD模型的另一項必備要素,可自動生成樣板式代碼,幫助開發(fā)人員快速構建應用程序。這些功能使攻擊者能夠更容易地快速創(chuàng)建軟件,并且不必擔心計劃和設計工作。
在移動設備中開發(fā)勒索軟件
構建Android應用所需的工具通常為基于電腦的軟件。這意味著,如果使用這些軟件,開發(fā)人員需要一臺電腦才能夠創(chuàng)建Android應用程序,這是應用開發(fā)最常見的情形。而在本文設計的案例中,攻擊者能夠直接在移動設備上使用IDE對Android.Lockdroid.E變種進行設計、構建、實施、修改及簽署.這些變種中包含了表明開發(fā)時所使用的Android 集成開發(fā)環(huán)境 (AIDE)的殘余代碼。需要指出的是,AIDE自身不具有惡意性,它是一個合法的學習平臺,可用于直接在Android設備上開發(fā)移動應用。
為什么使用AIDE開發(fā)勒索軟件?
攻擊者在構建勒索軟件變種時,能夠利用AIDE所提供的移動性、靈活性以及快速修改代碼的能力。舉例說明,一個沒有經(jīng)驗的開發(fā)人員可能只想利用現(xiàn)有代碼創(chuàng)建一個新的變種,那么他只需直接在設備上修改幾行代碼(比如硬編碼電子郵件賬號或密碼)便可創(chuàng)建一個新變種。那么,經(jīng)驗豐富的惡意軟件開發(fā)者甚至可以在無需一臺筆記本電腦就可以隨時創(chuàng)建一個勒索軟件。
利用移動設備開發(fā)的勒索軟件正在快速興起
賽門鐵克發(fā)現(xiàn),Lockdroid.E的變種已經(jīng)開始針對中文用戶,并且正在通過垃圾郵件或設備上已安裝的瀏覽器劫持程序進行傳播。Lockdroid.E與典型勒索軟件的作用方式相似——鎖定受害者屏幕。一旦移動設備上安裝了一種變種,它便會在感染設備的用戶界面頂部創(chuàng)建一種窗口(如下圖中所示)。之后,惡意軟件會告之用戶,若想解鎖設備,需要通過即時通訊工具QQ聯(lián)系攻擊者,并要求受害者支付一定贖金來解鎖其設備。
已鎖定屏幕上顯示消息,要求用戶通過 QQ 聯(lián)系攻擊者
在此案例中,解鎖設備屏幕所需的編碼被硬編碼在惡意軟件代碼的變量中。攻擊者的QQ 被硬編碼在另一個變量中。新手攻擊者不斷使用AIDE來修改這些變量值,以指向不同的QQ賬號和解鎖密碼。利用AIDE,攻擊者能夠?qū)⑺麄兊腁ndroid設備用作開發(fā)平臺,快速簡便地創(chuàng)建新的變種。但由于新手開發(fā)者缺乏經(jīng)驗,所以他們有時會在修改時犯一些編輯錯誤,從而導致變種軟件出錯。利用現(xiàn)有代碼創(chuàng)建擁有不同配置的新型變種與傳統(tǒng)的惡意軟件開發(fā)方法相差無幾。不過,RAD模型的采用表明,攻擊者正在試圖尋找更快速、更靈活的創(chuàng)建惡意軟件的方式。
安全防護
賽門鐵克建議,用戶采取以下最佳安全措施:
及時更新您的軟件和操作系統(tǒng)
切勿安裝來自未知或不信任來源的應用
密切注意手機應用的請求權限
經(jīng)常備份您的設備
安裝一款移動安全應用來保護您的設備與數(shù)據(jù),例如 Norton Mobile Security
京公網(wǎng)安備 11010502049343號