网络安全公司CheckPoint的研究团队日前发布报告披露名为RafelRAT的勒索软件,严格来说这并不是勒索软件而是个开源的针对安卓系统的恶意软件,但其内置勒索软件相关功能可以锁定用户设备上的文件。
被攻击的安卓设备多数搭载的都是旧版Android系统,即利用旧版Android系统中未被修复的安全漏洞用来发起攻击,统计显示受害者中使用Android11及更旧版本的用户占比超过87.5%。
对黑客来说RafelRAT的优势在于开源和可定制,该恶意软件可以根据需要进行定制并适配不同品牌的安卓设备进行针对性攻击,因此可以兼容不同OEM定制的安卓系统。
被感染的设备常见品牌包括三星、谷歌、小米、摩托罗拉、OnePlus、华为、vivo等,不同黑客定制的版本权限也有区别,不过总体来说都是要求用户授予电池优化权限,让恶意软件可以在后台持续运行。
典型的RafelRAT恶意软件具备如下功能:
勒索功能:在设备上启动文件加密过程,将用户资料等全部加密以勒索赎金
wipe命令:可以删除指定路径下的所有文件和文件夹
屏幕锁定:可以强行锁定设备屏幕阻止用户解锁和使用
短信功能:窃取用户收到的短信例如2FA验证码类
位置信息:可以开启定位功能收集用户的实时位置信息
RafelRAT的勒索功能采用黑客预设的AES密钥对文件进行加密,完成加密后再修改锁屏密码并添加自定义信息例如要求受害者通过Telegram联系黑客支付赎金以解锁设备。
如果用户尝试撤销DeviceAdmin权限则该恶意软件回立即修改屏幕密码并重新锁定屏幕,让用户始终无法正常解锁设备被迫支付赎金或清空整个设备。
对安卓设备来说实际要想实现WindowsPC这样的勒索其实还是有些难度的,主要是通常情况下手机不会存储太多重要性数据,这种情况下用户可以直接清空设备,指望用户支付赎金估计难度比较大。
不过对一些用户来说微信这种应用的聊天记录和数据无法云同步,如果用户没有提前备份数据,那么清空手机就会导致所有数据丢失,这种情况下也会给用户造成影响。
目前谷歌已经接到CheckPoint的通报,谷歌通过GooglePlayProtect检测此类恶意软件并提供防御机制,避免用户安装夹杂RafelRAT的应用程序。
【查看完整讨论话题】 | 【用户登录】 | 【用户注册】