4月份360 移動安全團隊發布的《Android勒索軟件研究報告》詳細揭露了目前國內Android勒索軟件黑色產業鏈情況。其中,報告中指出國內勒索軟件傳播方式主要借助QQ群、受害者、貼吧和網盤。另外,報告也指出國內勒索軟件的制作門檻低,制作人群呈現年輕化等特點。
我們在最近的研究分析中發現,勒索軟件的惡意行為出現了新的變化趨勢,開始出現交叉式傳播。勒索軟件通過遍歷手機通訊錄,向聯系人群發帶有惡意下載鏈接的短信的方式進行惡意軟件的傳播。傳播的對象不僅是惡意軟件自身,還有其他家族木馬,如:專門通過竊取手機支付驗證碼及其它用戶手機重要隱私信息,以達到洗劫用戶資金目的的FakeTaobao【1】木馬家族。
據我們所知,借助短信方式傳播的Android木馬家族SpamSoldier【2】最早出現在2012年12月,在2014年8月全國范圍內爆發的“XX神器”事件【3】中被媒體和網民廣泛的關注。目前為止,FakeTaobao木馬家族是使用這種裂變式傳播方式最活躍的木馬家族。
我們通過惡意軟件中制馬人留下的信息,回溯了其長達半年之久的制馬活動后發現,勒索軟件傳播出現的裂變式傳播和交叉傳播新趨勢,正是由于制馬人制馬類型不再單一,正在變得多元化,而勒索軟件正在成為制馬人制馬的新方向。
經過我們對最新捕獲的勒索軟件的分析,該木馬的運行流程如下圖所示:
圖1.1 木馬運行流程
木馬具體執行步驟:
木馬運行后,啟動惡意服務binge。
服務啟動后,向手機號151xxxx3857發送安裝報活短信,短信內容“報告斌哥,軟件已安裝,已授權”。
遍歷手機通訊錄向手機中所有聯系人發送帶有惡意下載鏈接的短信,短信內容“{聯系人姓名},我幫別人做宣傳。點擊鏈接并下載并安裝http://pre.im/xxxxflaw,一定要下載安裝哦,不下載安裝對不起我喲!”。
構造并展現鎖屏懸浮窗頁面,不響應觸摸事件。
隱藏自身圖標。
我們在分析中發現,樣本中涉及到敏感的字符串全部進行了DES加密處理。
圖1.2 木馬遍歷聯系人群發短信的代碼片段
圖1.3密文與明文對應關系
短信中的鏈接指向http://pre.im/xxxxflaw,Pre.im是一個免費的內測分發、應用托管工具網站,可以用于軟件BUG測試和兼容性測試。制馬人利用這種第三方網站提供的下載功能,上傳惡意樣本進行傳播。
圖1.4 Pre.im官網介紹
通過瀏覽器打開短信中的鏈接顯示一個名為“秒贊神器”軟件。實際上,經過分析這個“秒贊神器”軟件是一個典型的設置PIN碼類型的勒索軟件,軟件運行后會在用戶不知情的情況下強制設置手機解鎖PIN碼,造成用戶無法進入手機桌面。
圖1.5 木馬下載頁面
在“秒贊神器”申請激活設備管理器頁面上,制馬人留下了自己的QQ聯系方式。
圖1.6 木馬申請設備管理器頁面
同時,在木馬簽名信息中也發現了同樣的QQ號碼。
圖1.7 木馬簽名信息
我們通過惡意軟件中制馬人留下手機號和QQ信息,將其制作的惡意樣本與我們捕獲到的時間進行關聯,回溯了制馬人長達半年之久的制馬活動。
圖2.1 制馬人半年的制馬活動軌跡
從捕獲時間看,包含制馬人聯系方式的惡意樣本首次出現在2015年11月3日,軟件名稱為“system”。
圖2.2 “system”惡意軟件代碼片段
15年11月3日到12月25日:制馬人制馬活動很少,偶爾制作幾個名稱為“system”、“卡鉆”、“移動激活卡鉆”等惡意軟件。值得注意的是,新年前后期間正是廣大網民搶紅包的高峰期,在新年的前一周,12月24日制馬人制作了一款名為“搶紅包外掛”的惡意軟件。從十一月到十二月期間制作的這些惡意軟件都屬于FakeTaobao木馬家族。
16年1月1日:2016年新年伊始,制馬人依然沒有停下制馬的腳步,元旦這天制馬人開始嘗試制作勒索軟件測試Demo程序。
圖2.3 勒索軟件測試Demo程序
1月10日:制馬人又開始轉向制作釣魚軟件,制作了一個用于竊取QQ賬號和密碼的釣魚軟件測試Demo程序。
圖2.4 釣魚軟件正在發送QQ賬號密碼信息
1月12日:制馬人通過篡改正常軟件,制作了一款全屏不響應觸摸事件的形式的勒索軟件。從這個樣本可以看出制馬人從測試階段逐步開始制作正式的勒索軟件。
圖2.5 正常軟件(圖左)和被篡改后的軟件(圖右)對比
從制馬人一月的活動可以看出,一月制馬人開始活躍起來。不但制作了像“相冊”、“移動積分”、“雙倍搶紅包(秒搶)”這類FakeTaobao木馬家族惡意樣本,還制作了釣魚和勒索軟件。
2月4日:與一月相比,二月制馬人活動明顯減少。制馬人在2月4日制作的勒索軟件中,加入了所謂的“免殺”手段,通過構造了異常的ZIP包結構,造成分析工具解壓時報錯,來對抗常見的分析工具分析。
圖2.6 異常的ZIP包結構
2月5日到2月22日:制馬人一直保持靜默,沒有制作任何惡意軟件。這段時間恰逢中國農歷臘月二十七到正月十五。
2月25日:制馬人開始制作新型的勒索軟件,新型勒索軟件主要是將勒索軟件以子包的形式隱藏在另一個軟件中,后者安裝運行后會通過一些文字提示誘導用戶授予Root權限,同時將前者安裝到手機系統軟件目錄中,這種鎖機方式被制馬人稱為“Root鎖”。
圖2.7 執行拷貝到系統軟件目錄的shell命令
3月1日:從制馬人活動頻率看,三月是制馬人近半年內制馬最為活躍的月份。在3月1日,制馬人制作了名為“QQ百寶箱”的惡意軟件。
圖2.8 QQ百寶箱安裝圖標
該惡意軟件不僅會在用戶不知情的情況下強制設置手機解鎖PIN碼,造成用戶無法進入手機桌面。而且,還會誘導用戶輸入QQ賬號和密碼進行釣魚。
圖2.9 竊取QQ賬號密碼信息代碼片段
另外,值得關注的是,我們發現“QQ百寶箱”惡意軟件加入了遍歷手機通訊錄群發短信的功能,開始進行自我傳播。“QQ百寶箱”惡意軟件與我們最新捕獲的惡意軟件,除了短信內容沒有進行加密處理外,從代碼結構上看,前者與后者幾乎完全一樣,我們認為這應該是后者的早期版本。
圖2.10 “QQ百寶箱”遍歷通訊錄群發短信代碼片段
3月19日:從3月19日開始在連續一周多的時間里,制馬人每天都在制作惡意軟件,甚至出現了一天內制作多個惡意軟件。
圖2.11 制馬人同一天制作的三個惡意軟件
四月制馬人活動頻率有所下降,同時,我們發現在四月制馬人制作的惡意軟件全部是勒索軟件。
我們通過回溯和分析制馬人在近六個月里制馬活動的頻率和制馬類型可以看出制馬人行為有以下特點:
制馬人在2015年年底并不活躍,而且制作方向單一,僅僅制作FakeTaobao木馬家族惡意樣本;
在2016年1月制馬人嘗試制作勒索和釣魚軟件,制作方向開始發生轉變,制作了一批測試Demo程序;
在二月制馬人開始增加惡意樣本對抗分析手段并且加強了勒索軟件惡意功能;
在三月制馬人增加了惡意軟件傳播方式,開始群發短信進行裂變式傳播。同時,制馬人活動頻率也到達高峰。
在四月制馬人將已有代碼進行加密保護,增加了不同類型惡意軟件間的交叉式傳播方式。
制馬人前三個月與后三月的制馬類型對比,制馬人制馬方向從FakeTaobao木馬家族逐漸轉向勒索軟件,勒索軟件受到了制馬人的“青睞”。
我們通過查詢惡意軟件中制馬人留下的QQ信息,這個QQ號碼指向一個信息顯示僅有15歲的少年。并且發現這個人是QQ群“AIDE – Android lockphone”的群主,該群目前有超過200人。此人群名片顯示“贊我十贊截圖,送root鎖”,所謂的Root鎖,就是制馬人在二月制作的利用Root的勒索軟件惡意樣本。
圖2.12 QQ號碼查詢信息
另外,此人的QQ個性簽名歷史中曾經出現“flaw的人生”,“flaw”這個詞出現在群發的短信鏈接中,根據這些信息,我們認為此人與制馬人為同一人。
圖2.13 制馬人歷史個性簽名信息
我們通過已知的信息,關聯出其他有相似行為的勒索軟件。這些勒索軟件群發的短信鏈接,主要借助的是網盤和第三方網站進行傳播。
圖3.1 關聯樣本中的短信內容與鏈接歸屬
從鏈接傳播的對象看,鏈接傳播的惡意軟件不僅是勒索軟件自身,還發現了其他惡意木馬家族,例如FakeTaobao木馬家族。
圖3.2勒索軟件傳播的FakeTaobao木馬家族
經過我們調查,制馬人制馬方向轉變,制馬多元化的原因,歸根結蒂還是與錢有關。我們從一個制馬人的聊天中得知,制馬人主要制作“攔截馬”即FakeTaobao木馬家族,月收益相當可觀在1.3萬元左右,同時制馬人也在制作勒索軟件,每月能夠多帶來1500元收益。
圖3.3制馬人的聊天對話內容
制馬人“青睞”勒索軟件的原因,一方面勒索軟件制作門檻低,制馬方向的多元化會給制馬人帶來額外的一份收益;另一方面,與FakeTaobao木馬家族洗劫用戶資金財產相比,勒索軟件每次勒索的數額并不大,相對制馬人來說制馬風險也較小。
我們發現制馬人擅長使用群發帶有惡意下載的短信的方式進行惡意軟件傳播,受害人點擊短信中的網址鏈接下載安裝后,手機會被植入惡意軟件,該軟件會遍歷受害人手機中的通訊錄,并繼續向獲取到的通訊錄名單發送同樣的惡意鏈接短信,以此來獲得裂變式的傳播速度。這種傳播方式利用熟人間的信任關系,加之文字誘導,傳播感染成功率極強。
制馬人制馬類型的多元化,也帶來了移動平臺傳播的新趨勢。制馬人將不同類型的惡意軟件進行交叉式傳播,在給制馬人帶來不同收益來源外,同時,也給用戶帶來了更多的安全威脅。一旦用戶中招,木馬會形成攻擊鏈條,用戶損失會出現疊加,同時,對于手機防護軟件也提出了更高的要求。
附錄一:參考資料
【1】 FakeTaobao家族變種演變
http://blogs.#/360mobile/2014/09/16/analysis_of_faketaobao_family/
【2】Android Trojan Used To Create Simple SMS Spam Botnet
http://blog.cloudmark.com/2012/12/16/android-trojan-used-to-create-simple-sms-spam-botnet/
【3】XX神器
http://baike.so.com/doc/7486655-7756521.html