勒索软件Faketoken开始集成文件加密功能

卡巴斯基实验室的安全专家识别了一种已知的安卓恶意软件。窃取金融信息和敏感数据的安卓勒索软件Faketoken现又具备文件加密功能。卡巴斯基的研究人员确认称，受害者人数超过16,000名用户。他们监测到了在27个国家的感染，大部分位于俄罗斯、乌克兰、德国和泰国。

研究人员表示，Vxers在传统的移动银行木马中增加了文件加密功能，所以恶意软件既能窃取敏感数据又能锁定手机SD卡上的用户文件。该恶意软件具有混合功能，又被称作“勒索软件银行家”。移动银行木马中的勒索软件功能是一个特例。2014年被发现的恶意软件Svpeng就是第一批具备该功能的恶意软件之一。现代的移动勒索软件并不限于锁屏，还会加密用户文件。卡巴斯基发现的木马被命名为“Faketoken”。顾名思义，该木马的主要特征是能够生成2000多个金融应用的虚假登录屏幕，从而窃取登录凭证。Faketoken还能够通过向受害者显示钓鱼页面，以窃取信用卡信息。

研究人员注意到，Faketoken的文件加密功能是在7月以后开始出现的，并且已发布数千个包含新功能的版本。卡巴斯基在博文中表示：“我们已成功检测到数千个能够加密数据的Faketoken安装包，最早的一个可追溯至2016年7月。。

“Trojan-Banker.AndroidOS.Faketoken伪装成各种程序和游戏，常常模仿Adobe Flash Player。”

研究人员确认称，受害者人数超过16,000名用户。他们监测到了在27个国家的感染，大部分位于俄罗斯、乌克兰、德国和泰国。

Faketoken采用AES对称加密算法加密文件。对于受害者而言，这是一个好消息，因为他们可有机会解密文件，无需支付赎金。分析称，

“木马从C&C服务器接收加密秘钥和初始化向量。加密文件包括媒体文件（图片、音乐和视频）和文档。木马将文件扩展名修改为.cat。”

研究人员强调，移动恶意软件开发者并不喜欢文件加密，因为存储在移动设备上的大部分文件通常已被复制至云端。

来源：安全加