勒索軟件Faketoken開始集成文件加密功能
責編:mhshi |2016-12-22 11:03:45卡巴斯基實驗室的安全專家識別了一種已知的安卓惡意軟件。竊取金融信息和敏感數據的安卓勒索軟件Faketoken現又具備文件加密功能。卡巴斯基的研究人員確認稱,受害者人數超過16,000名用戶。他們監測到了在27個國家的感染,大部分位于俄羅斯、烏克蘭、德國和泰國。
研究人員表示,Vxers在傳統的移動銀行木馬中增加了文件加密功能,所以惡意軟件既能竊取敏感數據又能鎖定手機SD卡上的用戶文件。該惡意軟件具有混合功能,又被稱作“勒索軟件銀行家”。移動銀行木馬中的勒索軟件功能是一個特例。2014年被發現的惡意軟件Svpeng就是第一批具備該功能的惡意軟件之一。現代的移動勒索軟件并不限于鎖屏,還會加密用戶文件。卡巴斯基發現的木馬被命名為“Faketoken”。顧名思義,該木馬的主要特征是能夠生成2000多個金融應用的虛假登錄屏幕,從而竊取登錄憑證。Faketoken還能夠通過向受害者顯示釣魚頁面,以竊取信用卡信息。
研究人員注意到,Faketoken的文件加密功能是在7月以后開始出現的,并且已發布數千個包含新功能的版本。卡巴斯基在博文中表示:“我們已成功檢測到數千個能夠加密數據的Faketoken安裝包,最早的一個可追溯至2016年7月。。
“Trojan-Banker.AndroidOS.Faketoken偽裝成各種程序和游戲,常常模仿Adobe Flash Player。”
研究人員確認稱,受害者人數超過16,000名用戶。他們監測到了在27個國家的感染,大部分位于俄羅斯、烏克蘭、德國和泰國。
Faketoken采用AES對稱加密算法加密文件。對于受害者而言,這是一個好消息,因為他們可有機會解密文件,無需支付贖金。分析稱,
“木馬從C&C服務器接收加密秘鑰和初始化向量。加密文件包括媒體文件(圖片、音樂和視頻)和文檔。木馬將文件擴展名修改為.cat。”
研究人員強調,移動惡意軟件開發者并不喜歡文件加密,因為存儲在移動設備上的大部分文件通常已被復制至云端。
來源:安全加