當前位置:
首頁 > 新聞 > ESET新發現了一款用通訊錄發送惡意簡訊的Android勒索軟體

ESET新發現了一款用通訊錄發送惡意簡訊的Android勒索軟體

最近ESET研究人員發現了一個新的Android勒索軟體家族,它們試圖通過向受害者的手機的聯繫人列表發送惡意簡訊繼續傳播。

在Android勒索軟體遭遇兩年的衰退之後,一個新的Android勒索軟體家族又出現了。目前,該家族已經被ESET Mobile Security檢測到,並被定義為Android / Filecoder.C。目前該勒索軟體正在通過各種在線論壇進行傳播。藉助受害者的聯繫人列表,然後將帶有惡意鏈接的簡訊進一步傳播。由於目標範圍狹窄,並且在執行過程中存在缺陷,這種新的勒索軟體的攻擊力還是有限的。但是,如果幕後的開發者開始定位更廣泛的用戶群,Android / Filecoder.C勒索軟體可能會成為一個嚴重的威脅。

通過長期以來的跟蹤,Android/Filecoder.C自2019年7月12日起一直處於活躍狀態。在我們發現的活動中,Android / Filecoder.C已經通過Reddit上的惡意帖子和「XDA Developers」論壇(Android開發者論壇)進行了大量傳播。不過很快,我們就向XDA Developers和Reddit報告了此惡意活動。截止發稿,XDA DEVELOPERS論壇上的帖子被迅速刪除,不過目前惡意Reddit配置文件在發布時仍處於運行狀態。

Android/Filecoder.C通過帶有惡意鏈接的簡訊進一步傳播,這些鏈接被發送給受害者聯繫人列表中的所有聯繫人。

在勒索軟體發出這些惡意簡訊之後,它會加密設備上的大多數用戶文件,並要求受害者支付贖金。

使用ESET Mobile Security的用戶會收到有關惡意鏈接的警告,如果用戶執意忽略警告並繼續下載應用程序,安全解決方案將強行阻止惡意軟體的運行。

惡意攻擊的統計

我們發現的廣告系列基於兩個域(請參閱下面的IoC部分),由攻擊者控制,其中包含用於下載的惡意Android文件。攻擊者通過發布或評論Reddit(圖1)或XDA DEVELOPERS(圖2)來吸引潛在受害者點擊這些域。

大多數情況下,帖子的主題與色情有關。除此之外,我們也看到了用技術主題作誘餌的帖子。在所有評論或帖子中,都包含指向惡意應用程序的鏈接或QR代碼。

攻擊者的Reddit配置文件,包含惡意帖子和評論

攻擊者在XDA DEVELOPERS論壇上發布的一些惡意帖子

在Reddit上共享的一個鏈接中,攻擊者使用了短網址bit.ly。經調查這個bit.ly URL是在2019年6月11日創建的,其統計數據如下圖所示,截至撰寫本文時,來自不同來源和國家的點擊量已達到59次。

勒索軟體活動期間在Reddit上共享的bit.ly鏈接的統計信息

傳播過程

如前所述,Android/Filecoder.C勒索軟體通過簡訊將鏈接傳播到受害者聯繫人列表中的所有目錄。

這些消息包括勒索軟體的鏈接,為了增加潛在受害者的點擊概率,這個鏈接被顯示為一個應用程序的鏈接,且該應用程序可能使用潛在受害者的照片,如下圖所示。

為了擴展其攻擊範圍,勒索軟體有42種語言版本的消息模板,如圖5所示。在發送消息之前,它選擇適合受害者設備的語言設置的版本。為了個性化這些消息,惡意軟體會將聯繫人的姓名添加到這些消息之前,以顯得真實,增加迷惑性。

帶有勒索軟體鏈接的簡訊,如果發送設備將語言設置為英語,則發送此切換到英文

勒索軟體中硬編碼了42種語言版本

惡意功能

一旦潛在受害者收到帶有惡意應用程序鏈接的簡訊,他們需要手動安裝它。應用程序啟動後,它將顯示傳播它的帖子中承諾的內容。通常,它是一個在線性愛模擬遊戲。然而,其主要目的是C&C通信,傳播惡意消息和實施加密或解密機制。

對於C&C通信,惡意軟體的源代碼中包含硬編碼的C&C和比特幣地址。但是,它也可以動態檢索它們:攻擊者可以使用免費的Pastebin服務隨時更改它們。

Pastebin是一個便簽類站點,用戶可以在該平台任意儲存純文本,例如代碼,文字等內容。Pastebin支持的編程語言種類也非常齊全,還會自動判斷語言類型並高亮顯示代碼內容。除了直接在網頁內操作外,Pastebin 最大的特色是提供了許多相關工具和應用,包括 Windows、Mac、UNIX、Firefox、Chrome、Opera、iPhone/iPad、Android、WinPhone 以及 WebOS 等等,讓使用者隨時隨地都能夠存取使用。但從安全分析和威脅情報的角度來看,Pastebin卻是一個信息收集的寶庫。特別是那些上傳到pastebin卻未明確設置為private(需要一個賬戶)的內容,將會被所有人公開查閱。

勒索軟體檢索C&C地址的一組地址的示例

由於可以訪問用戶的聯繫人列表,勒索軟體具有發送文本消息的能力。在加密文件之前,它使用上面描述的傳播技術向每個受害者的聯繫人發送一條消息。

接下來,勒索軟體會遍歷可訪問存儲上的文件(即除了系統文件所在位置外的所有設備存儲部分) ,並對其中大部分進行加密(具體解釋,請參閱下面的「文件加密機制」一節)。文件加密後,勒索軟體會顯示其勒索信息(英文),如下圖示。

Android/Filecoder.C顯示的勒索信息

不過,正如贖金說明中所述,如果受害者刪除了這個應用程序,則勒索軟體將無法解密文件。此外,根據我們的分析,勒索軟體的代碼中沒有任何內容支持聲稱受影響的數據將在72小時後丟失。

如下圖所示,請求的贖金部分是動態變化的。將要請求的比特幣數量的第一部分是硬編碼的,值為0.01,而剩餘的六位數是惡意軟體生成的用戶ID。

這種獨特的做法可能有助於識別收到的贖金金額,因為在Android勒索軟體中,這通常是通過為每個加密設備生成一個單獨的比特幣錢包來實現的。根據最近每比特幣的價格,贖金將落在94-188美元之間(假設唯一ID是隨機生成的)。

惡意軟體如何計算贖金

與典型的Android勒索軟體不同,Android / Filecoder.C不會通過鎖定屏幕來阻止設備的使用。

如下圖所示,在撰寫本文時,所提到的比特幣地址可以動態改變,但在我們看到的所有樣本中,地址都是不變的,沒有記錄任何交易。

攻擊者使用的比特幣地址

文件加密機制

勒索軟體使用的是非對稱和對稱加密,首先,它會生成一個公鑰和私鑰對。此私鑰使用RSA演算法加密,其中硬編碼的公鑰存儲在代碼中並發送到攻擊者的伺服器。攻擊者可以解密該私鑰,並在受害者支付贖金後,將該私鑰發送給受害者以解密他們被加密的文件。

加密文件時,勒索軟體會為每個要加密的文件生成一個新的AES密鑰。然後使用公鑰對此AES密鑰進行加密,並將其添加到每個加密文件中,從而生成以下模式:( (AES)public_key (File)AES ).seven。

文件結構如下圖所示:

加密文件結構概述

勒索軟體通過訪問可訪問的存儲目錄來加密以下文件類型:

「.doc」, 「.docx」, 「.xls」, 「.xlsx」, 「.ppt」, 「.pptx」, 「.pst」, 「.ost」, 「.msg」, 「.eml」, 「.vsd」, 「.vsdx」, 「.txt」, 「.csv」, 「.rtf」, 「.123」, 「.wks」, 「.wk1」, 「.pdf」, 「.dwg」, 「.onetoc2」, 「.snt」, 「.jpeg」, 「.jpg」, 「.docb」, 「.docm」, 「.dot」, 「.dotm」, 「.dotx」, 「.xlsm」, 「.xlsb」, 「.xlw」, 「.xlt」, 「.xlm」, 「.xlc」, 「.xltx」, 「.xltm」, 「.pptm」, 「.pot」, 「.pps」, 「.ppsm」, 「.ppsx」, 「.ppam」, 「.potx」, 「.potm」, 「.edb」, 「.hwp」, 「.602」, 「.sxi」, 「.sti」, 「.sldx」, 「.sldm」, 「.sldm」, 「.vdi」, 「.vmdk」, 「.vmx」, 「.gpg」, 「.aes」, 「.ARC」, 「.PAQ」, 「.bz2」, 「.tbk」, 「.bak」, 「.tar」, 「.tgz」, 「.gz」, 「.7z」, 「.rar」, 「.zip」, 「.backup」, 「.iso」, 「.vcd」, 「.bmp」, 「.png」, 「.gif」, 「.raw」, 「.cgm」, 「.tif」, 「.tiff」, 「.nef」, 「.psd」, 「.ai」, 「.svg」, 「.djvu」, 「.m4u」, 「.m3u」, 「.mid」, 「.wma」, 「.flv」, 「.3g2」, 「.mkv」, 「.3gp」, 「.mp4」, 「.mov」, 「.avi」, 「.asf」, 「.mpeg」, 「.vob」, 「.mpg」, 「.wmv」, 「.fla」, 「.swf」, 「.wav」, 「.mp3」, 「.sh」, 「.class」, 「.jar」, 「.java」, 「.rb」, 「.asp」, 「.php」, 「.jsp」, 「.brd」, 「.sch」, 「.dch」, 「.dip」, 「.pl」, 「.vb」, 「.vbs」, 「.ps1」, 「.bat」, 「.cmd」, 「.js」, 「.asm」, 「.h」, 「.pas」, 「.cpp」, 「.c」, 「.cs」, 「.suo」, 「.sln」, 「.ldf」, 「.mdf」, 「.ibd」, 「.myi」, 「.myd」, 「.frm」, 「.odb」, 「.dbf」, 「.db」, 「.mdb」, 「.accdb」, 「.sql」, 「.sqlitedb」, 「.sqlite3」, 「.asc」, 「.lay6」, 「.lay」, 「.mml」, 「.sxm」, 「.otg」, 「.odg」, 「.uop」, 「.std」, 「.sxd」, 「.otp」, 「.odp」, 「.wb2」, 「.slk」, 「.dif」, 「.stc」, 「.sxc」, 「.ots」, 「.ods」, 「.3dm」, 「.max」, 「.3ds」, 「.uot」, 「.stw」, 「.sxw」, 「.ott」, 「.odt」, 「.pem」, 「.p12」, 「.csr」, 「.crt」, 「.key」, 「.pfx」, 「.der」

但是,它不會加密包含字元串「.cache」,「tmp」或「temp」的目錄中的文件。

如果文件擴展名為「.zip」或「.rar」且文件大小超過51200 KB 或者50 MB,勒索軟體也不加密這些文件。另外小於150 KB的 「.jpeg」,「.jpg」和「.png」文件也不會成為加密對象。

文件類型列表包含一些與Android無關的目錄,同時缺少一些典型的Android擴展,如.apk、.dex等。顯然,該列表是從臭名昭著的WannaCry勒索軟體中複製而來的。

文件加密後,文件擴展名「.seven」將附加到原始文件名後,如下圖所示。

擴展名為「.seven」的加密文件

解密機制

用於解密加密文件的代碼其實就存在於勒索軟體中,如果受害者支付贖金,勒索軟體操作員則可以通過下圖中所示的網站進行驗證,並發送私鑰解密文件。

贖金支付驗證網頁

緩解措施

1.讓你的設備及時更新,最好將它們設置為自動修補和更新,這樣你能隨時受到最新的保護。

2.如果可能,請使用Google Play或其他信譽良好的應用商店,下載應用。

3.在安裝任何應用程序之前,請檢查其評級和評論。多看看負面評價的消息,因為它們通常4.來自合法用戶,而積極的反饋往往是由攻擊者制定的。

5.留意應用程序請求的許可權,如果它們與應用程序匹配的功能不符,請不要下載應用程序。

攻擊指標(IoC)

喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 嘶吼RoarTalk 的精彩文章:

智能門鎖來勢洶洶,安全保障問題重重,果加公寓版智能門鎖被爆安全漏洞!
永信至誠的平行模擬術,大潘:穿過這場「連環夢」

TAG:嘶吼RoarTalk |