网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

“游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


Android勒索软件分析

2019-12-20 16:59 推荐: 浏览: 28 views 字号:

摘要: 00 前言 在2019年7月31日,安全厂商ESET的研究人员Lukas Stefanko探测到了一款针对Android用户的新型勒索软件Filecoder.C,此病毒第一次出现在Reddit和Android开发者论坛XDA Developer上,再透过受害...

00

前言

在2019年7月31日,安全厂商ESET的研究人员Lukas Stefanko探测到了一款针对Android用户的新型勒索软件Filecoder.C,此病毒第一次出现在Reddit和Android开发者论坛XDA Developer上,再透过受害者手机大量散布。截止至目前为止,大约有230万人次已被确认“中招”,而有趣的是即使受害者乖乖交了几百美金的“赎金”,却依然无法恢复文件。

这让我们不禁反思两个现象:

➣ 大多数人在“中招“后,由于缺少足够的应对经验和技术,往往不知所措、无从下手。在经过激烈的思想博弈后,率先认输,自认倒霉,乖乖交钱。助长了黑客的气焰不说还有可能出现”即使有密钥也无法恢复手机“的现象。

➣ 移动端的安全防护较PC端较差,暴露出的攻击面更多。同时大多用户对移动APP的攻击技术不够了解,从侧面增加黑客攻击的成功率。

由此可以得出两个结论:

➣ 移动端的安全威胁将进一步提升,以勒索软件为代表的恶意软件将进一步进入手机市场。

➣ 目前移动端市场缺少一款性能优越的防勒索软件。

01

手机市场勒索软件情况

以360安全中心2017年的统计数据为例,在2017年的1月至9月,平均每月捕获手机勒索软件5.5万余个。其中1月到5月手机勒索软件呈现波动式增长,6月份网警在芜湖、安阳将勒索病毒制作者男子陈某及主要传播者晋某抓获,全国首例手机勒索病毒案告破,在6月份以后新增数量急剧下降,手机勒索软件制作者得到了一定震慑作用。

在2018年度,新增恶意软件434.2万个,平均每天新增约1.2万个。整体呈现“前高后低“的态势,且较2017年的勒索软件数量有明显的增长。从移动威胁趋势上看,5G时代的到来将更加冲击移动端的安全环境,届时如何减少攻击面以及提升手机内部安全将成为研究的热点。

02

Android勒索软件工作原理

移动端勒索软件多伪装成一些系统功能组件,或一些特殊功能的APP(如色情软件、游戏外挂、正规应用的破解版等),诱骗用户进行安装。勒索软件通常分为两种类型:锁屏类和文件加密类,勒索软件在索要系统的一些权限后锁定用户设备或对文件进行加密,并进行敲诈。勒索类恶意软件的目的通常很明确,仅仅是为了进行不法牟利,而用户的数据安全和隐私并非不法分子所考虑的。

由此我们可以知道:勒索软件成功运行的重要前提是获取管理器权限

Device admin是一个很危险的权限,设计之初,这个功能是用于厂家开发手机防盗功能的一个接口,只要用户安装此类APP并点击Activate,APP便具备设备管理员权限,并具备以下权限的一种或多种:

  1. 加密存储
  2. 禁用照相机
  3. 禁用锁屏相关特性
  4. 强制密码过期
  5. 锁定屏幕
  6. 限制可用密码类型
  7. 重置密码
  8. 监控密码输入的正确或错误
  9. 擦除数据

一旦用户在不了解权限的具体作用的情况下,给予了勒索软件这一超级权限,黑客可以随心所欲的对用户的手机进行锁定,重置密码等。

锁屏类勒索软件:

此类型的勒索软件,在安卓目录下的manifest.xml中显示注册一个BoardcastReceiver,同时在meta-data中添加一个额外的device_admin.xml用于声明要使用的管理员权限.

届时只要用户点击了此勒索软件,便会不停的弹出窗口向用户索要权限,直至用户同意才停止弹窗。

一旦用户给了权限,想要取消激活就只能在设置->安全->设备管理应用程序 中手动取消激活,但此时已经为时已晚,勒索软件便可以通过resetPassword方法重置掉用户的锁屏密码。

附加说明:

Android N(7.x)中,DevicePolicyManager.resetPassword方法只能为没有密码的机器设置初始密码,但不能重置或者清除已有的密码了,因此旧版本的恶意应用在有密码的机器上是没办法设置密码的。

当App targetsdkversion为Android O(8.x)及以上,该API会直接抛出SecurityException异常,因此恶意应用会选择较低的targetsdk版本进行规避。

加密文件类勒索软件:

该病毒类似于永恒之蓝事件所爆发时的wannacry勒索软件,通过比特币的形式勒索用户缴纳赎金并规避现金交易的风险,首先该软件会要求用户开启辅助点击服务,一旦用户给予了权限,立即跳转到激活设备管理器页面并模拟点击激活设备管理器,以上操作仅仅为了增强自身的存活性,之后便加密文件,跳出勒索界面要求用户缴纳赎金。

如果数据被加密且使用了非对称加密算法,或密钥是随机生成并被上传到作者的服务器,数据恢复的概率会变得十分渺茫。

以下代码实现生成随机密码并上传至作者的服务器:

以下代码实现加密或解密用户的文件:

03

Android勒索软件样本分析

首先在网上下载了一个公开的勒索软件样本,丢到模拟器里安装一下,就会看到以下情景。

可以看到这个勒索软件在安装的时候向用户索取了很多敏感权限,如果有用户防范意识不强的话,往往会被极具诱惑力的名字误导安装。

接下来我们点击允许,等待几秒后模拟器重启,一个很丑的页面映入眼帘。。。。

看来是被勒索了,证明这个勒索病毒正常运行了,那么接下来我们对这个APK进行一下逆向,先使用apktool对样本apk进行一下反编译。

接下来查看Manifest.xml文件,可以看到允许应用获取了很多敏感权限,如:向SD卡上写文件、允许应用程序修改全局音频设置、允许应用程序获取手机全局状态、允许访问振动设备、允许程序打开窗口使用等。

接下来进入主程序可以看到写了多种方式,有DES、MD5等等依次调用,可能被加密了不止一次。

以上就是勒索软件的工作原理了,有的勒索软件简单粗暴,也没有经过什么加壳就直接散发出去,主要针对的是那些安全意识淡薄的群体。还有的勒索软件藏在正常的APK当中或者经过加壳处理,一般情况下用户在使用的时候看不出来这是个问题软件,直到触发了勒索软件的加密函数才会加密本机文件,这种勒索软件中招的往往是有一定安全意识的群体,一开始会小心谨慎在放松警惕后勒索软件才开始攻击。

04

Android勒索软件的传播方式

目前社交网络成为了勒索软件的主要传播渠道,其中QQ与QQ群成为了大多数攻击者与受害者联系的唯一方式。

通过对勒索软件预留的QQ号与QQ群的分析,我们发现大部分勒索信息中都会同时出现 QQ号和QQ群号。在相似页面布局的勒索页面中,变化是只是QQ号而 QQ群号基本不变。

在进到一些锁机QQ群后发现,群里有人将一些锁机源码、测试视频、视频教程、软件源码及制作工具等等上传到群文件中,共享给其他人。除此之外还存在着“一键生成木马“工具,这种一键生成器操作简单,不需要具备编程知识也能够自定义生成多种类型的手机恶意软件。由于使用门槛低,造成了勒索软件从数量、类型上的不断增长与变化。

因此切记不要随意安装非正规应用商店中的软件,也不要轻易的转账或提交个人信息,同时要留意应用所需的权限,不要随意给予与应用功能无关的权限。

05

Android勒索软件防御方法

1、提升个人安全意识,拒绝一切不明渠道的软件安装包,只从正规商店下载正版软件。

2、不乱点不明链接或扫描不知做什么的二维码,尽可能阻止恶意软件进入手机。

3、仔细查看软件安装时索取的权限信息,因为勒索软件的运行前提是要获得手机访问文件的权限,所以对于索取此权限的APP要格外注意。

4、定期检查手机,扫描是否有潜在木马或恶意程序。

联系站长租广告位!

中国首席信息安全官