手機惡意程式嫌親友團小,竟自動放棄

作者 | 發布日期 2017 年 08 月 05 日 15:00 | 分類 Android , app , 網路 follow us in feedly

資安業者趨勢科技最近發現新形態勒索病毒「LeakerLocker」,不加密受害者的檔案,但會威脅洩漏手機個資;然而,如果手機聯絡人或通話記錄不夠多,惡意程式竟然會自動中止執行。



勒索病毒最主要的勒贖手段是將受害者的檔案加密,然而最近卻出現一個名為 LeakerLocker 的新形態手機勒索病毒,會將受害者手機上的個人資料傳送至遠端伺服器,要求受害人支付贖金,否則就將資料發送給通訊錄中的每一個人。

趨勢科技部落格今天發文指出,這個 LeakerLocker 勒索病毒目前透過 3 個 Google Play 商店上的應用程式來散布,包括「Wallpapers Blur HD(散景桌布)」、「Booster & Cleaner Pro(系統優化清理程式)」以及「Calls Recorder(電話錄音程式)」。

這 3 個應用程式目前都已被 Google Play 商店下架,趨勢科技將該病毒命名為:ANDROIDOS_LEAKERLOCKER.HRX 。儘管並無證據顯示這些應用程式是由同一作者所撰寫,但這樣的可能性卻很高,因為它們全都散布同一個勒索病毒。

根據趨勢科技的研究,當「Calls Recorder」應用程式下載並安裝到使用者裝置之後,首先會查看手機上的聯絡人、相片、通話記錄等等來檢查其數量是否超過一定門檻。換句話說,若受害手機上沒有太多聯絡人、照片、通話記錄的話,惡意程式將會放棄而中止執行。

如果上述檢查過關,會暫時等候 15 分鐘之後再繼續執行,這是目前歹徒常用的一種躲避資安產品動態偵測技術的手法。等 15 分鐘一到,Calls Recorder 就會開始檢查使用者裝置是否連上 Wi-Fi 無線網路。若有,它會暫時關閉無線網路,看看行動網路連線是否可用。如果無法使用行動網路,它的動作就到此為止。接著,它會把 Wi-Fi 恢復到先前狀態。

Calls Recorder 會再檢查受害手機的 InstallReferrerReceiver 元件,這是用來接收 Google Play 商店廣播訊息的元件,一般用於追蹤應用程式的安裝管道。當受害手機在前述檢查當中都過關之後,Calls Recorder 會試圖連上「http://updatmaster.top/click.php」這個網址。如果成功連上,就會發送一個廣播通知來觸發惡意程式。

趨勢科技部落格指出,這個病毒的關鍵是它可從網路上下載 Java 或 Jar 等惡意檔案來執行,這表示它的惡意行為將千變萬化,因此所有手機用戶在安裝及下載應用程式時都應盡量小心謹慎。

一個最好的方法就是在下載應用程式之前務必多看看別人對該程式的評論,並且仔細留意是否有任何評論透露出該程式可能有問題的徵兆。此外,使用者也應隨時保持裝置更新,隨時套用可用的修補。

(作者:吳家豪;首圖來源:shutterstock)