目前，手机勒索事件鲜有耳闻，但是研究人员说，移动恶意软件事件正变得越来越普遍，并且变得越来越复杂。

​

基于Android的滴管恶意软件Black Rose Lucy背后的网络罪犯已经将攻击从信息窃取转变为勒索软件。

由露西·冈（Lucy Gang）操作的恶意软件家族，可以对目标Android设备进行加密，并发送欺骗性的FBI消息。赎金记录称，手机用户访问了手机上的“禁止色情网站”，并且面部的“快照”已上载到代理商。根据Check Point安全研究人员的说法，支付500美元即可解决问题。

俄语威胁演员于2018年被Check Point首次确定。当时，露西·冈（Lucy Gang）将其产品作为一种恶意软件即服务进行了推广，可以收集受害者的设备数据，收听远程命令与控制（C2）服务器并安装从C2服务器发送的其他恶意软件。

研究人员表示，通过其最近的勒索软件活动，他们已经发现了80多个与Lucy相关的恶意软件样本，并在野外发现了一种新的活跃Lucy变体。研究人员说，该恶意软件的分发是基于社会的，诱使目标对象下载被露西吸管诱骗诱骗的视频播放器。

“我们发现，所获取的样本伪装成看上去无害的视频播放器应用程序，主要是利用Android的辅助功能服务来安装有效负载，而无需任何用户交互，并创建了一种有趣的自我保护机制，” Check Point的合著者写道。报告 Ohad Mana，Aviran Hazum，Bogdan Melnykov和Liav Kuperman。

要推送其恶意视频播放器的下载，受害者会在恶意软件分发网站上收到一条消息，内容为：“要继续在手机上观看视频，您必须启用流视频优化（SVO），在菜单中选择它并打开它！”

黑玫瑰露西勒索软件

通过单击“确定”，用户将授予恶意软件许可，以使用Android Accessibility Service安装Android恶意软件负载，而无需任何用户交互。

“恶意软件首先注册一个名为'uyqtecppxr'的接收器以运行BOOT_COMPLETE和QUICKBOOT_POWERON来检查设备的国家/地区代码是否来自前苏联国家。然后，露西试图通过启动一个警告对话框要求用户采取行动来诱骗受害者启用无障碍服务。”研究人员解释说。

“在MainActivity模块内部，应用程序触发了恶意服务，该服务随后注册了一个由action.SCREEN_ON命令调用的BroadcastReceiver，然后对其进行自我调用。他们说，这用于获取“ WakeLock”服务和“ WifiLock”服务，该服务可以使设备的屏幕保持打开状态。

Google专门设计了Android Accessibility Services，以允许残疾用户模仿用户的屏幕点击，并可以自动进行用户与设备的互动。研究人员说：“对于露西，[Android无障碍服务]是Android防御装甲中的致命弱点。”

Lucy攻击策略的另一项更新是Black Rose Lucy恶意软件强化了其C2服务器。根据Check Point的说法，威胁参与者现在使用的是域，而不是IP地址。研究人员指出：“尽管服务器可以拆除，但可以轻松地将其解析为新的IP地址，这使得消除恶意软件的难度变得更大。”

加密过程首先包括恶意软件尝试获取受害者的设备目录。“最初，[Lucy]尝试获取设备所有目录的数组。如果发生故障，它将尝试获取目录/ storage。作为最后的手段，它试图获取/ sdcard目录。”研究人员解释说。

研究人员说，一旦恶意软件完成了对设备文件的加密（扩展名为.Lucy）并执行了检查以验证文件是否已加密，它就会在浏览器窗口中显示赎金记录（请参阅下文，以读取整个假FBI赎金消息）。。

根据Check Point对恶意软件的分析，它认为：“解密过程完成后，恶意软件会发送日志以通知所有文件都已成功解密。然后，恶意软件将当前命令更改为“删除”，并继续删除自身。”

研究人员说，移动恶意软件事件正变得越来越普遍，并且变得越来越复杂。他们说，黑玫瑰露西就是一个例子，代表了移动恶意软件发展的“重要里程碑”。

研究人员说：“迟早，移动世界将遭受重大的破坏性勒索软件攻击。”