作者:啟明星辰ADLab
一、簡述
啟明星辰ADLab近期發現一款集勒索加密病毒、間諜軟件、銀行木馬於一體的新型Android惡意代碼,其實現了如加密勒索(Ransomware)、鍵盤記錄(keylogger)、遠程訪問木馬(RAT)、短信攔截、呼叫轉移和鎖定屏幕等多種功能。
詳細分析該惡意代碼后發現,該惡意代碼新變種可劫持幾乎涵蓋全世界各大金融機構的手機APP,總數有300多個,涉及中國、美國、英國、日本、中國香港、法國等40多個國家和地區。該惡意代碼還具有勒索軟件的功能,會使用256位對稱密鑰對受害用戶的手機文件進行加密處理,並且以“.AnubisCrypt”作為加密文件的擴展名,同時還偽造了FBI警告界面通知受害用戶以比特幣的方式支付罰金方可對文件進行解密。另外,它還能夠被用於進行網絡間諜活動,例如:監視受感染設備主窗口活動、進行屏幕截圖併發送給攻擊者、使用內置麥克風監聽受感染設備周圍環境中的聲音等等。
二、惡意代碼發現
2018年8月底,啟明星辰ADLab監測到一個當月新註冊的異常Twitter賬戶,該賬戶在Twitter上發布了一些類似用base64編碼的推文。其2018年8月27日發布了兩條似乎完全相同的推文,並且在我們發現當天,又連續發布兩條不同的推文(見圖1)。