勒索软件Faketoken开始集成文件加密功能

卡巴斯基实验室的安全专家识别了一种已知的安卓恶意软件。窃取金融信息和敏感数据的安卓勒索软件Faketoken现又具备文件加密功能。卡巴斯基的研究人员确认称,受害者人数超过16,000名用户。他们监测到了在27个国家的感染,大部分位于俄罗斯、乌克兰、德国和泰国。

研究人员表示,Vxers在传统的移动银行木马中增加了文件加密功能,所以恶意软件既能窃取敏感数据又能锁定手机SD卡上的用户文件。该恶意软件具有混合功能,又被称作“勒索软件银行家”。移动银行木马中的勒索软件功能是一个特例。2014年被发现的恶意软件Svpeng就是第一批具备该功能的恶意软件之一。现代的移动勒索软件并不限于锁屏,还会加密用户文件。卡巴斯基发现的木马被命名为“Faketoken”。顾名思义,该木马的主要特征是能够生成2000多个金融应用的虚假登录屏幕,从而窃取登录凭证。Faketoken还能够通过向受害者显示钓鱼页面,以窃取信用卡信息。

研究人员注意到,Faketoken的文件加密功能是在7月以后开始出现的,并且已发布数千个包含新功能的版本。卡巴斯基在博文中表示:“我们已成功检测到数千个能够加密数据的Faketoken安装包,最早的一个可追溯至2016年7月。。

“Trojan-Banker.AndroidOS.Faketoken伪装成各种程序和游戏,常常模仿Adobe Flash Player。”

研究人员确认称,受害者人数超过16,000名用户。他们监测到了在27个国家的感染,大部分位于俄罗斯、乌克兰、德国和泰国。

Faketoken采用AES对称加密算法加密文件。对于受害者而言,这是一个好消息,因为他们可有机会解密文件,无需支付赎金。分析称,

“木马从C&C服务器接收加密秘钥和初始化向量。加密文件包括媒体文件(图片、音乐和视频)和文档。木马将文件扩展名修改为.cat。”

研究人员强调,移动恶意软件开发者并不喜欢文件加密,因为存储在移动设备上的大部分文件通常已被复制至云端。

来源:安全加

上一篇:赛可达成为微软MVI计划指定测试认证实验室

下一篇:俄黑客通过恶意软件入侵乌克兰军队