372
國內 Android 手機典型勒索軟件詳情分析(附解鎖方法)
事件說明
2017年2月13-17日,RSA Conference 2017 信息安全大會在美國舊金山Moscone中心隆重舉行。大會第一天就是一係列關於Ransomware(勒索軟件)的議題,而在剛剛過去的2016年,“MongDB數據庫網絡勒索事件”,“ElasticSearch數據庫網絡勒索 事件”,網絡勒索問題已成為互聯網安全的重點關注問題之一。
此前,某安全研究人員在知乎專欄爆料,某黑產團夥利用嵌入惡意代碼的刷鑽應用進行QQ盜號和惡意鎖屏,感染用戶高達八千人。近日,盤古實驗室發現同一團夥傳播的升級版惡意應用,企圖鎖屏用戶移動設備,進行敲詐勒索。
一、背景概述
在某社區平台,有安卓用戶稱在QQ群中下載了“愛扣字”這款應用,導致手機被惡意鎖住,無法正常使用。
通過感染用戶提供的鎖屏圖片中的QQ群號碼,我們找到了管理員的QQ號。管理員的QQ簽名明確標注了解鎖的價格。
管理員簽名:“想要解鎖自己的手機,需要聯係加QQ群189894077,聯係管理員,QQ紅包35元,微信支付寶40元。”
二、惡意鎖屏觸發流程
盤古實驗室在獲取到惡意樣本後,在安卓模擬器上進行了測試,還原其鎖屏觸發流程及技術原理。下圖為惡意鎖屏的觸發流程圖。
在安裝“愛扣字”應用後,打開應用程序,彈出“扣字神器”的安裝界麵,提示安裝“扣字神器”應用。
安裝並打開“扣字神器”。“萌寵大揭秘”中的GIDGET,看起來萌萌的。在點擊“點擊開始免費激活”按鈕後,跳轉到下圖第二個界麵。彈窗“激活完全免費”,點擊“激活”。
同時第三個界麵彈窗詢問是否激活設備管理器,激活後,跳轉到上圖第四個界麵。前麵的幾個界麵看起來都相對可靠,這個界麵看著些許不適,風格詭異。
點擊“點擊開始root”後,設備黑屏並重啟。重啟後,設備已經被惡意應用鎖屏。
在整個鎖屏觸發的過程中,真正具有惡意鎖屏行為的應用是“愛扣字”推送安裝的程序“扣字神器”。
三、樣本技術原理
(1)鎖屏原理
鎖屏類勒索軟件通常利用WindowManager.LayoutParams的flags屬性,設置成某個固定的值,使懸浮窗口懸浮置頂。本文中的惡意應用也利用了同樣的方法。
國內的大多數勒索類軟件也大多是利用同樣的手段。
除了鎖屏,對於按鍵操作,程序也進行了監控。
當按鍵為4或82時,執行com.bugzapk.z的代碼。4代表的是返回鍵,82代表的是菜單鍵。代碼中並未出現監控音量鍵、關機鍵等特征代碼。
com.bugzapk.z中的代碼主要作用是將bug.apk放在system目錄中,作為係統應用開機啟動,達到長期惡意鎖屏的目的。
而bug.apk正是重命名的“扣字神器”這款應用。
(2)密碼加密算法
應用程序中解鎖密碼並沒有明文存儲,而是利用了AES加密和壓縮算法,將密碼進行加密後存儲。
壓縮算法:
解密前原數據:
解密後明文:
(3)其他惡意行為
在惡意應用運行的過程中,會主動請求網頁"https://www.wencaojun.top/xnsmtp.html",而網頁中的內容是郵箱和一串類似密碼的字符串。
曆史惡意樣本是發送序列號加密後的字符串到指定郵箱,而這個惡意應用雖然保留了部分曆史代碼,在此基礎上添加了代碼,但是在測試的過程中並未出現發送郵箱的行為。
在代碼中也出現了一些可疑郵箱。
四、解鎖流程
在整個解鎖的流程中,並不如“解鎖管理員”簽名中所述,解鎖隻需35元或者40元就可以解除屏幕鎖定。經過測試我們發現,想要解鎖設備至少要有三個密碼才能解鎖。而這些密碼,與解鎖界麵中生成的序列號毫無關係,其中有兩個密碼保存在遠程服務器上,管理員可以隨意修改。
(a)第一個解鎖界麵
在惡意軟件安裝後,程序會自動發送HTTP請求到指定的服務器。若HTTP請求成功,則設置第一個解鎖界麵的解鎖密碼為網頁"https://www.wencaojun.top/sj.html"中聲明七中的數字;若HTTP請求失敗,則設置第一個解鎖界麵的解鎖密碼為4312。
(b)第二個解鎖界麵
第二個解鎖界麵中有三個密碼可以使用,分別是4951,997998和2415。這幾個密碼加密存儲在惡意應用的代碼中,並不是明文可見。
這裏的邏輯處理很有趣。密碼輸入4951會返回到第一個解鎖界麵;密碼輸入2415,成功解鎖,跳轉到第三個解鎖界麵;密碼輸入997998,則會提示機型不支持,需提供機型給管理員解鎖。
這裏的機型是程序通過獲取設備信息獲取到的,是真實信息,但是機型不支持隻是一個套路罷了。
在輸入997998跳轉到如上圖所示界麵後,輸入密碼2415跳轉到第三個解鎖界麵。
(c)第三個解鎖界麵
第三個解鎖界麵實際上修改了係統的pin值,設置了新的pin值。
第三個解鎖界麵的解鎖密碼與在安裝程序時是否激活設備管理器有關。
程序安裝時會詢問是否激活設備管理器。若激活設備管理器,則程序從遠程服務器端獲取密碼,密碼來源於"https://www.wencaojun.top/pin.html"。若未激活設備管理器,則密碼為程序加密存儲的數字3957。
至此,整個程序才算解鎖完畢。當然,這僅是解鎖完畢。如果解鎖後沒有立即刪除該惡意應用,重新啟動手機後該應用仍會繼續自動啟動並鎖屏。
五、惡意鎖屏產業鏈
惡意樣本代碼中包含若幹手機號碼、QQ號、QQ群等信息,根據以上信息及感染用戶提供的信息摸索,其產業鏈也越發清晰。
該團夥利用受害者貪小便宜的心理,多次在安卓逆向破解群、安卓反編譯群、扣字群、QQ刷讚群等多個群中埋伏,在群文件中共享包含惡意代碼的鎖屏應用,並偽造成免費應用的樣子,伺機傳播。
在用戶下載安裝後,通過指定QQ群進行聯係。QQ群一般偽裝成普通的遊戲交流群或日常溝通群。
通常情況下,群主不參與整個勒索的流程,會提示受害者聯係管理員進行解鎖。管理員則會對受害者多次索取解鎖費,達到勒索錢財的目的。
勒索團夥具備高度的反偵查意識。在獲取樣本後的短短幾天內多次更換群主和管理員,解散QQ群,建立新的牟利鏈。
QQ賬號注冊成本低,一個手機號碼可注冊多個QQ號。即使QQ號被舉報,被騰訊公司收回,也可以使用相同的手機號繼續注冊,並且經常更換QQ號碼也會在一定程度上避免其賬號在社交平台大肆流傳,影響牟利。
而之前在其他社交平台被披露的QQ群,大多數已解散。現在仍舊被用來維持業務的QQ群基本上都是16年之後建立的。
與其他敲詐勒索團夥不同的是,這個團夥在百度貼吧中專門建了一個貼吧進行自己的解鎖宣傳。雖然貼吧排名不高,帖子數量少的可憐,但是仍然可以通過其中幾個解鎖管理員的QQ搜索到。
正如惡意樣本技術分析中描述的一樣,用戶設備受到感染至少執行3個步驟,至少可牟利100元。而這樣低成本的惡意鎖屏軟件,每天感染3個用戶,月收入就過萬了,日積月累,涉案金額並不是一個小數目。
六、安全建議
惡意鎖屏敲詐勒索的事件中,所安裝的應用均來自QQ群,論壇等非正規渠道,而這些渠道並不具備大型應用市場相對嚴格的審核製度。
對於已經感染該惡意樣本的用戶,可通過本文中的解鎖流程進行解鎖操作,解鎖後立即刪除該應用,避免掉入循環付費解鎖的黑洞。
針對安卓用戶,應盡量避免安裝來曆不明的應用,對於應用獲取root權限等敏感行為的操作也應該保持警惕,避免遭受損失。
最後更新:2017-04-10 21:02:15