From:盤古實驗室
事件說明
2017年2月13-17日,RSA Conference 2017?信息安全大會在美國舊金山Moscone中心隆重舉行。大會第一天就是一系列關于Ransomware(勒索軟件)的議題,而在剛剛過去的2016年,“MongDB數據庫網絡勒索事件”,“ElasticSearch數據庫網絡勒索 事件”,網絡勒索問題已成為互聯網安全的重點關注問題之一。
此前,某安全研究人員在知乎專欄爆料,某黑產團伙利用嵌入惡意代碼的刷鉆應用進行QQ盜號和惡意鎖屏,感染用戶高達八千人。近日,盤古實驗室發現同一團伙傳播的升級版惡意應用,企圖鎖屏用戶移動設備,進行敲詐勒索。
一、背景概述
在某社區平臺,有安卓用戶稱在QQ群中下載了“愛扣字”這款應用,導致手機被惡意鎖住,無法正常使用。
通過感染用戶提供的鎖屏圖片中的QQ群號碼,我們找到了管理員的QQ號。管理員的QQ簽名明確標注了解鎖的價格。
管理員簽名:“想要解鎖自己的手機,需要聯系加QQ群189894077,聯系管理員,QQ紅包35元,微信支付寶40元。”
二、惡意鎖屏觸發流程
盤古實驗室在獲取到惡意樣本后,在安卓模擬器上進行了測試,還原其鎖屏觸發流程及技術原理。下圖為惡意鎖屏的觸發流程圖。
在安裝“愛扣字”應用后,打開應用程序,彈出“扣字神器”的安裝界面,提示安裝“扣字神器”應用。
安裝并打開“扣字神器”。“萌寵大揭秘”中的GIDGET,看起來萌萌的。在點擊“點擊開始免費激活”按鈕后,跳轉到下圖第二個界面。彈窗“激活完全免費”,點擊“激活”。
同時第三個界面彈窗詢問是否激活設備管理器,激活后,跳轉到上圖第四個界面。前面的幾個界面看起來都相對可靠,這個界面看著些許不適,風格詭異。
點擊“點擊開始root”后,設備黑屏并重啟。重啟后,設備已經被惡意應用鎖屏。
在整個鎖屏觸發的過程中,真正具有惡意鎖屏行為的應用是“愛扣字”推送安裝的程序“扣字神器”。
三、樣本技術原理
(1)鎖屏原理
鎖屏類勒索軟件通常利用WindowManager.LayoutParams的flags屬性,設置成某個固定的值,使懸浮窗口懸浮置頂。本文中的惡意應用也利用了同樣的方法。
國內的大多數勒索類軟件也大多是利用同樣的手段。
除了鎖屏,對于按鍵操作,程序也進行了監控。
當按鍵為4或82時,執行com.bugzapk.z的代碼。4代表的是返回鍵,82代表的是菜單鍵。代碼中并未出現監控音量鍵、關機鍵等特征代碼。
com.bugzapk.z中的代碼主要作用是將bug.apk放在system目錄中,作為系統應用開機啟動,達到長期惡意鎖屏的目的。
而bug.apk正是重命名的“扣字神器”這款應用。
(2)密碼加密算法
應用程序中解鎖密碼并沒有明文存儲,而是利用了AES加密和壓縮算法,將密碼進行加密后存儲。
壓縮算法:
解密前原數據:
解密后明文:
(3)其他惡意行為
在惡意應用運行的過程中,會主動請求網頁"http://www.wencaojun.top/xnsmtp.html",而網頁中的內容是郵箱和一串類似密碼的字符串。
歷史惡意樣本是發送序列號加密后的字符串到指定郵箱,而這個惡意應用雖然保留了部分歷史代碼,在此基礎上添加了代碼,但是在測試的過程中并未出現發送郵箱的行為。
在代碼中也出現了一些可疑郵箱。
四、解鎖流程
在整個解鎖的流程中,并不如“解鎖管理員”簽名中所述,解鎖只需35元或者40元就可以解除屏幕鎖定。經過測試我們發現,想要解鎖設備至少要有三個密碼才能解鎖。而這些密碼,與解鎖界面中生成的序列號毫無關系,其中有兩個密碼保存在遠程服務器上,管理員可以隨意修改。
(a)第一個解鎖界面
在惡意軟件安裝后,程序會自動發送HTTP請求到指定的服務器。若HTTP請求成功,則設置第一個解鎖界面的解鎖密碼為網頁"http://www.wencaojun.top/sj.html"中聲明七中的數字;若HTTP請求失敗,則設置第一個解鎖界面的解鎖密碼為4312。
(b)第二個解鎖界面
第二個解鎖界面中有三個密碼可以使用,分別是4951,997998和2415。這幾個密碼加密存儲在惡意應用的代碼中,并不是明文可見。
這里的邏輯處理很有趣。密碼輸入4951會返回到第一個解鎖界面;密碼輸入2415,成功解鎖,跳轉到第三個解鎖界面;密碼輸入997998,則會提示機型不支持,需提供機型給管理員解鎖。
這里的機型是程序通過獲取設備信息獲取到的,是真實信息,但是機型不支持只是一個套路罷了。
在輸入997998跳轉到如上圖所示界面后,輸入密碼2415跳轉到第三個解鎖界面。
(c)第三個解鎖界面
第三個解鎖界面實際上修改了系統的pin值,設置了新的pin值。
第三個解鎖界面的解鎖密碼與在安裝程序時是否激活設備管理器有關。
程序安裝時會詢問是否激活設備管理器。若激活設備管理器,則程序從遠程服務器端獲取密碼,密碼來源于"http://www.wencaojun.top/pin.html"。若未激活設備管理器,則密碼為程序加密存儲的數字3957。
至此,整個程序才算解鎖完畢。當然,這僅是解鎖完畢。如果解鎖后沒有立即刪除該惡意應用,重新啟動手機后該應用仍會繼續自動啟動并鎖屏。
五、惡意鎖屏產業鏈
惡意樣本代碼中包含若干手機號碼、QQ號、QQ群等信息,根據以上信息及感染用戶提供的信息摸索,其產業鏈也越發清晰。
該團伙利用受害者貪小便宜的心理,多次在安卓逆向破解群、安卓反編譯群、扣字群、QQ刷贊群等多個群中埋伏,在群文件中共享包含惡意代碼的鎖屏應用,并偽造成免費應用的樣子,伺機傳播。
在用戶下載安裝后,通過指定QQ群進行聯系。QQ群一般偽裝成普通的游戲交流群或日常溝通群。
通常情況下,群主不參與整個勒索的流程,會提示受害者聯系管理員進行解鎖。管理員則會對受害者多次索取解鎖費,達到勒索錢財的目的。
勒索團伙具備高度的反偵查意識。在獲取樣本后的短短幾天內多次更換群主和管理員,解散QQ群,建立新的牟利鏈。
QQ賬號注冊成本低,一個手機號碼可注冊多個QQ號。即使QQ號被舉報,被騰訊公司收回,也可以使用相同的手機號繼續注冊,并且經常更換QQ號碼也會在一定程度上避免其賬號在社交平臺大肆流傳,影響牟利。
而之前在其他社交平臺被披露的QQ群,大多數已解散。現在仍舊被用來維持業務的QQ群基本上都是16年之后建立的。
與其他敲詐勒索團伙不同的是,這個團伙在百度貼吧中專門建了一個貼吧進行自己的解鎖宣傳。雖然貼吧排名不高,帖子數量少的可憐,但是仍然可以通過其中幾個解鎖管理員的QQ搜索到。
正如惡意樣本技術分析中描述的一樣,用戶設備受到感染至少執行3個步驟,至少可牟利100元。而這樣低成本的惡意鎖屏軟件,每天感染3個用戶,月收入就過萬了,日積月累,涉案金額并不是一個小數目。
六、安全建議
惡意鎖屏敲詐勒索的事件中,所安裝的應用均來自QQ群,論壇等非正規渠道,而這些渠道并不具備大型應用市場相對嚴格的審核制度。
對于已經感染該惡意樣本的用戶,可通過本文中的解鎖流程進行解鎖操作,解鎖后立即刪除該應用,避免掉入循環付費解鎖的黑洞。
針對安卓用戶,應盡量避免安裝來歷不明的應用,對于應用獲取root權限等敏感行為的操作也應該保持警惕,避免遭受損失。
About
上海犇眾信息技術有限公司是以國際頂級安全團隊盤古為核心的自主創新型企業,在操作系統安全性研究、程序自動化分析、漏洞挖掘與攻防等研究領域有雄厚基礎。公司創立于2014年,致力于移動互聯網安全技術研究和產品研發、為企業及個人用戶提供專業的安全服務和解決方案。
基于盤古團隊的安全研究成果,公司在移動終端APP漏洞檢測與風險評估,惡意APP檢測與分析、移動設備取證、移動設備APT檢測與對抗等領域開發了多款產品。
公司以讓每一臺智能移動終端更安全為使命,基于豐富的系統攻防之道,鑄造堅實的移動設備安全和數據隱私保障之盾。公司秉承技術分享理念,為促進信息安全社區的整體發展和技術提升積極貢獻力量。
本文由 Seebug Paper 發布,如需轉載請注明來源。本文地址:http://www.bjnorthway.com/233/
暫無評論