勒索软件攻击Android设备：索要Apple iTunes礼品卡

研究人员发现，一个exploit kit正在被用于向andorid用户投递恶意欺诈软件。

Blue Coat实验室的研究人员表示，该exploit kit被发现正在利用Hacking Team泄露的多种漏洞将恶意软件悄悄地安装到受害者的Android设备中，感染受害者的andorid设备。
在周一的一篇博客文章中，该安全团队说，在对Android设备实施测试时，他们就发现了这种新的攻击方式。测试的Android设备是一款运行Android 4.2.2 CyanogenMod 10版本的旧三星平板，该设备在页面加载了一个含有JavaScript的恶意广告后遭受勒索软件攻击。

根据研究人员Andrew Brandt的说法：
“这是网络安全公司第一次发现漏洞工具包可以在没有任何用户交互的状态下，在移动设备上安装恶意应用。并且在攻击中，设备没有在安装Android应用程序之前，显示正常的‘应用程序权限’对话框。”
在咨询过Zimperium的分析师Joshua Drake后，Brandt确认用于发起攻击的JavaScript包含一个针对libxslt的漏洞，该漏洞于2015年Hacking Team数据泄露时被曝光。
被利用的漏洞是Hacking Team在2015年数据泄露事故中流出的，这起数据库泄露事件导致各种平台的木马程序（含源代码）、协助各种木马植入的0day漏洞、Hacking Team内部部分员工的个人资料和密码等全部曝光。对Android移动设备造成了严重的影响，尤其是那些没有及时更新程序的旧设备，极易遭受这种类型的攻击。同样糟糕的还有仍然运行Windows XP操作系统的PC等设备。
BlueCoat安全公司表示：攻击事件至少从2月中旬就发生了，或者可能开始的更早。根据用于攻击的域名和托管的IP地址这些线索，我们构建出如下关系图。其中，蓝线表示的是IP和域名之间的网页托管关系;黄线代表共享的域名注册信息;红色箭头代表的是已知恶意软件与其指向的IP地址进行的通信。

根据所掌握的情况，我们已经确定，在这期间，至少224个运行Android 4.0.3-4.4.4版本的移动设备已经被连接到漏洞工具包的命令与控制（C＆C）服务器中。
该Dogspectus勒索软件自称为“网络警察（Cyber.Police）”，声称是美国执法机构用于探测受害者上网浏览习惯的。然而，该勒索软件并不会加密用户文件，而是简单、直接地锁定用户设备。
虽然勒索软件通过锁定设备的方式，提出各种支付需求，比如说比特币，这一切都使得追踪犯罪记录变得格外困难。但是这款特殊的勒索软件要求受害者支付2张100美元的Apple iTunes礼品券代码。

研究人员说：
“理论上来说，苹果公司（或它的iTunes礼品卡合作伙伴）可以追踪到何人将礼品卡提供给犯罪分子，以此帮助调查人员侦破案情。”
目前，移除勒索软件的唯一方式就是将设备恢复出厂设置，此外，将你的Android智能手机和平板电脑保持更新也可以实现一定程度的保护作用。