勒索軟體的魔掌已經伸向了移動設備

勒索攻擊是安全領域常見的惡意軟體，常見的有CryptoLocker、WannaCry和Ryuk。這些勒索軟體對企業和個人帶來的大量的傷害。但這些勒索軟體主要攻擊的電腦和伺服器，攻擊移動設備的勒索軟體還很少。Check Point研究人員2018年9月發現了的Black Rose Lucy就是針對移動設備的惡意軟體。Lucy是一款針對安卓設備的Malware-as-a-Service (MaaS，惡意軟體即服務)和釋放器。近2年後，近日Lucy新加入了勒索軟體的功能，可以控制受害者設備做出不同的變化和安卓新的惡意應用。

概述

下載後，Lucy會加密受感染設備上的文件，並在瀏覽器窗口現實一個勒索信息，稱是來自美國FBI的官方消息，起訴受害者在設備上處理色情內容。勒索信息稱鎖定設備後，用戶詳細信息已經上傳到美國FBI網路犯罪部數據中心。受害者需要通過信用卡而非勒索軟體中常見的比特幣來支付500美元的罰款。研究人員共發現了超過80個Lucy相關的樣本通過社交媒體鏈接和即時消息app來傳播。

Lucy會通過彈窗消息誘使用戶啟動accessibility服務，用戶點擊ok後，就會授予惡意軟體使用accessibility服務。然後，Lucy就可以初始化其計劃來加密受害者設備上的數據。

圖 1. 惡意軟體彈窗誘使受害者啟用accessibility服務

技術細節

研究人員發現這些樣本偽裝成視頻播放器應用，使用安卓的accessibility服務在沒有用戶交互的情況下安裝payload，惡意軟體還創建了一個自保護機制。

初始化

惡意軟體首先註冊一個名為uyqtecppxr的接收器（receiver）來運行BOOT_COMPLETE和QUICKBOOT_POWERON來檢查設備的國家碼是否來自前蘇聯國家。

然後，Lucy通過模擬Alert Dialog(告警對話)來要求用戶採取措施，誘使用戶啟用Accessibility服務。

在MainActivity 模塊中，應用觸發了惡意服務，然後註冊一個命令action.SCREEN_ON 調用的BroadcastReceiver，然後調用。這是用來獲取『WakeLock』 服務，可以保持設備屏幕開啟，『WifiLock』 服務用來保持Wifi開啟。

通信

惡意軟體代碼中有4個加密的C2伺服器。與之前的版本不同，C2是域名而不是IP地址。C2的域名中夾雜了很多無用的數據。

圖 2. 惡意軟體中的C2伺服器地址（包含無用數據）代碼

圖 3. 惡意軟體C2伺服器

惡意軟體會在不同的C2之間循環，每個都會由不同的API和URI調用。

圖 4. 惡意軟體在不同的C2伺服器和URI之間變化

C2命令

C2伺服器可以發送不同的命令給惡意軟體，並且在受害者設備上執行。惡意軟體接收的C2命令如下所示：

文件解密/解密

惡意軟體會接收一個名為key的字元串，這也是來自C2伺服器的響應。字元串會被// 分拆為2部分。

然後，會調用一個新的服務，嘗試從所有設備的目錄中取回一個數組。如果失敗，就嘗試取回directory /storage，最後嘗試取/sdcard目錄。

圖 5 惡意軟體嘗試取回受害者設備目錄

加密過程首先遍歷它在上一階段收到的目錄數組中的文件。

在加密之前，惡意軟體會執行一些檢查，比如長度和許可權，來確保文件是加密或解密的。之後檢查文件是否成功加密。

Lucy在加密過程中還會模擬密鑰生成，但是使用的是固定seed 0x100的AES演算法。但這一動作好像是沒用的，因為結果並沒有保存在變數中。

圖 6. 生成（錯誤的）key

真實的加密key是由『SecretKeySpec』字元串的前一部分和從SharedPreferences中取回的key組成的。

這些key與目錄數組、作為加密和解密模式的布爾變數一起作為參數發送給加密/解密函數。

圖 7. 惡意軟體的加密/解密函數

惡意軟體完成設備上的文件加密後，會執行檢查來驗證文件是否成功加密，然後在瀏覽器窗口展示勒索信息。

勒索信息稱是來自美國FBI的官方消息，要起訴受害者在設備上處理了色情信息。所以，設備上所有的內容都被加密和鎖定了。勒索信息稱用戶詳細信息已經上傳到美國FBI網路犯罪部數據中心。受害者需要通過信用卡而非勒索軟體中常見的比特幣來支付500美元的罰款。

圖 8. Lucy勒索信

加密和解密的過程非常相似。除了加密的過程中會在文件加上.Lucy擴展，解密的時候會在文件尾部移除.Lucy擴展，和調用不同的布爾參數值（分別表示加密和解密）。

在加密和解密過程中，研究人員還發現了幾個關鍵組件的角色：

·『SecretKeySpec』是加密密鑰的第一部分，是來自第一階段的C2伺服器響應。

·來自SharedPreferences的key字元串的密鑰的第二部分。

這兩部分引起組成了加密/解密密鑰。

解密完成後，惡意軟體會發送日誌來通知所有的文件都成功解密了。然後，惡意軟體會修改當前命令為「Delete」來刪除自己。

總結

雖然之前沒用很多的手機（移動）勒索軟體，但研究人員這是一個趨勢。手機勒索軟體變得越來越複雜和高效，比如Lucy就是手機惡意軟體發展中的一個重要的里程碑。遲早，手機會遇到大規模、破壞性的勒索軟體攻擊。

參考及來源：https://research.checkpoint.com/2020/lucys-back-ransomware-goes-mobile/

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！