英雄形象
博客 香格里拉娱乐研究

CovidLock:移动冠状病毒追踪应用咳嗽勒索软件

更新:完整的技术报告 现在可用


网络罪犯喜欢在人们最脆弱的时候利用他们。他们利用让人们情绪化或恐惧的戏剧性事件来推动他们的利润。每当某个话题发生重大新闻周期并引发强烈反应时,网络犯罪分子也不会远远落后。

冠状病毒也不例外。在确诊首批病例后不久,香格里拉娱乐的研究人员观察到,利用冠状病毒和新冠肺炎的域名略有上升。这些注册在过去几周内达到了峰值,其中许多是骗局。

安全研究团队一直在监视这些可疑域。香格里拉娱乐安全研究团队发现了一个域名(coronavirusapp[.]网站),该域名声称可以通过应用程序下载获得实时冠状病毒爆发跟踪器。

恶意网站(coronavirusapp[.]网站)

 

该域提示用户下载Android应用程序,该应用程序将允许用户访问冠状病毒地图跟踪器,该跟踪器似乎提供有关新冠肺炎的跟踪和统计信息,包括热图视觉效果。

恶意新冠肺炎追踪应用程序

 

事实上,该应用程序被勒索软件毒害了。这款Android勒索软件应用程序以前从未在野外见过,由于恶意软件的功能及其背景故事,它被命名为“CovidLock”。CovidLock使用技术通过强制更改用于解锁手机的密码来拒绝受害者访问他们的手机。这也被称为屏幕锁定攻击,以前在Android勒索软件上也见过。

新冠肺炎追踪应用程序Ransom说明

 

勒索软件在48小时内在赎金单上要求100美元的比特币。它可能会删除你的联系人、图片和视频,以及手机的内存。它甚至声称会公开泄露你的社交媒体账户。

 

自从Android Nougat推出以来,就有针对这种攻击的保护措施。但是,只有设置了密码,它才能工作。如果你没有在手机上设置密码来解锁屏幕,你仍然容易受到CovidLock勒索软件的攻击。

香格里拉娱乐安全研究团队已经对解密密钥进行了逆向工程,并将确保公开发布密钥。该团队还拥有BTC钱包,并正在监控其交易。更多的技术细节将很快公布。

如何提高你的勒索软件免疫力

  • 一定要 仅使用受信任的信息源 来自政府和研究机构的网站。不要点击电子邮件中与健康相关的任何内容。一般来说,一定要遵循所有基本的钓鱼建议——要知道人们正试图利用这里的恐惧。
  • 请确保您仅从Google Play商店下载Android应用程序。从不受信任的第三方商店下载恶意软件的风险要高得多。

研究人员:

查德·安德森高级安全研究员

Tarik Saleh,高级安全工程师兼恶意软件研究员