根據(jù)Kai Lu文章指出,用戶啟動(dòng)遭到勒索軟體Locker感染的App,會(huì)要求用戶授予此App管理員權(quán)限。當(dāng)用戶授權(quán)後,勒索軟體會(huì)立即發(fā)動(dòng)勒索攻擊,鎖住使用者Android裝置的螢?zāi)唬斐捎脩魺o(wú)法點(diǎn)選其他應(yīng)用程式或是首頁(yè)解除,僅能使用鍵盤(pán)功能。接著,螢?zāi)怀霈F(xiàn)要求用戶輸入信用卡資料支付贖金的畫(huà)面,并且同時(shí)竊取用戶的銀行資料。
惡意軟體Android/Locker.FK!tr植入偽裝的Android App之中。圖片來(lái)源:Fortinet
然而,根據(jù)資安部落格BLEEPINGCOMPUTER說(shuō)明,駭客索取的金額都是超過(guò)手機(jī)價(jià)格的10倍和100倍之間,大部分的用戶遇到此情形,會(huì)選擇購(gòu)買(mǎi)新的手機(jī),較不愿意支付駭客贖金。
螢?zāi)怀霈F(xiàn)勒索用戶贖金的畫(huà)面,要求使用者輸入信用卡資料。圖片來(lái)源:Fortinet
此外,駭客利用Google云端通訊服務(wù),傳遞指令給App使用者監(jiān)控遭到該勒索軟體Locker感染的Android裝置。Google云端通訊服務(wù)原先是Google提供給Android App開(kāi)發(fā)者的免費(fèi)服務(wù),可讓開(kāi)發(fā)者透過(guò)此服務(wù)傳遞資料給App注冊(cè)的用戶。用戶也會(huì)透過(guò)Google云端通訊服務(wù)回傳資料給應(yīng)用程式開(kāi)發(fā)者。駭客利用這項(xiàng)服務(wù)傳遞控制指令給Android用戶,例如鎖定或解除螢?zāi)绘i定、新增或刪除聯(lián)絡(luò)人、發(fā)送簡(jiǎn)訊和更新勒索軟體程式碼等多達(dá)20種類(lèi)型的指令。
駭客利用Google云端傳訊服務(wù)(GCM,綠色圖示)控制和命令注冊(cè)該App的用戶。圖片來(lái)源:Fortinet
Kai Lu發(fā)現(xiàn),勒索軟體Locker會(huì)啟動(dòng)http的請(qǐng)求來(lái)獲取更新檔,并且自動(dòng)儲(chǔ)存在/sdcard/Download資料夾。Kai Lu認(rèn)為,Google云端通訊服務(wù)是一把雙刃劍。這款勒索軟體的攻擊方式,表明了駭客可以利用Google云端通訊服務(wù)作為控制和指揮(Command and Control ,C&C)的基礎(chǔ)設(shè)施,而且未來(lái)也可能成為駭客操控的手段。
