360烽火實驗室
摘 要
- 2017年1月至9月,360烽火實驗室共捕獲手機勒索惡意軟體50萬餘個,平均每月捕獲手機勒索軟體5.5萬餘個。語音識別、二維碼和檔案加密等新型勒索軟體不斷湧現。
- 社交網路服務被濫用,2017年前三季度,360烽火實驗室發現勒索資訊中新增QQ號碼7.7萬餘個,QQ群號碼1千餘個。其中,一季度新增QQ號碼和QQ群號碼數量均為最多,第二、三季度逐漸下降,與一季度相比二季度下降23.0%,三季度下降56.8%。
- 大部分勒索資訊中都會同時出現QQ號和QQ群號。在相似頁面佈局的勒索頁面中,變化是隻是QQ號而QQ群號基本不變。
- 鎖機原始碼、測試視訊、視訊教程、軟體原始碼及製作工具等等上傳到群檔案中,共享給群裡其他人,甚至還有人制作木馬一鍵生成器。
- 通QQ群查詢“鎖機”關鍵字得到的結果,帶有“鎖機”關鍵字標籤的QQ群有200餘個,由此可見QQ群是勒索軟體的主要傳播源。
- 大部分一鍵生成器由簡易工具AIDE製作而成,一鍵生成器能夠製作22種不同型別的軟體,其中包括了12種不同型別的勒索軟體、6種釣魚軟體、2種套路軟體、1種攔截馬軟體以及1種表白軟體。
- 生成流程包括三個部分,選擇生成軟體的型別、填寫生成軟體的配置資訊和新增生成軟體ROOT鎖。
關鍵詞:移動安全、手機勒索、一鍵生成器
第一章 研究背景
一、手機勒索軟體肆虐嚴重
今年5月,WannaCry勒索病毒全球大爆發,至少150個國家、30萬名使用者中招,造成損失達80億美元,已經影響到金融,能源,醫療等眾多行業,造成嚴重的危機管理問題。中國部分Windows作業系統使用者遭受感染,校園網使用者首當其衝,受害嚴重,大量實驗室資料和畢業設計被鎖定加密。部分大型企業的應用系統和資料庫檔案被加密後,無法正常工作,影響巨大。
面對這突如其來的病毒攻擊,勒索軟體成為人們熱點關注的話題。相比PC的勒索軟體,手機勒索軟體近年來在數量和種類上也得到了逐漸迅猛發展演變。
2017年1月至9月,360烽火實驗室共捕獲手機勒索惡意軟體50萬餘個,平均每月捕獲手機勒索軟體5.5萬餘個。其中1月到5月手機勒索軟體呈現波動式增長,6月份網警在蕪湖、安陽將勒索病毒製作者男子陳某及主要傳播者晉某抓獲,全國首例手機勒索病毒案告破,在6月份以後新增數量急劇下降,手機勒索軟體製作者得到了一定震懾作用。
二、新型勒索軟體不斷湧現
今年我們發現了勒索軟體使用的三種新型的技術手段:語音識別、二維碼和檔案加密。語音識別採用STT(Speech to Text)技術,不再使用手動鍵入密碼來解鎖,通過使用者的語音輸入,進行識別、匹配從而進行解鎖;二維碼技術手段是通過掃描制馬人生成的二維碼進行轉賬支付勒索金額,整個轉賬過程中雙方資訊互動僅為微信使用者的暱稱與轉賬賬目相關資訊,微信使用者的暱稱可以隨意改變且不唯一,轉賬過程中不涉及雙方微信賬號的資訊,轉賬後無法自動解鎖,讓受害者再次陷入制馬人的騙局中。
檔案加密型別的勒索軟體,雖然在國外早已出現,但在國內之前還並不常見,在受到了PC端的WannaCry勒索病毒大爆發影響後,國內開始出現仿冒頁面佈局、圖片及功能的手機版WannaCry勒索病毒,甚至將手機版可編譯的原始碼上傳至Github。
今年6月,我們發現了一款冒充時下熱門手遊“王者榮耀”輔助工具的手機勒索惡意軟體,會對手機中照片、下載、雲盤等目錄下的個人檔案進行加密。並向使用者勒索贖金,金額在20元、40元不等。並且宣稱三天不交贖金,價格將翻倍,七天不交,將刪除所有加密檔案。這個惡意軟體由於可以在加密演算法、金鑰生成演算法上進行隨機的變化,甚至可以選擇對生成的病毒樣本進行加固混淆,很大程度上增加了修復難度,對手機中檔案和資料造成了嚴重破壞。
第二章 社交網路成為勒索軟體主要傳播渠道
一、QQ服務被濫用
我們發現勒索軟體在勒索頁面的設計和文字上都有很多相似的地方,其中最為典型的特徵是勒索頁面中都留有制馬人聯絡方式,方便中招的受害者與制馬人聯絡,以便制馬人對受害者進行敲詐勒索,這些聯絡方式幾乎都是QQ號或者是QQ群。
2017年前三季度,360烽火實驗室發現勒索資訊中新增QQ號碼7.7萬餘個,QQ群號碼1千餘個。其中,一季度新增QQ號碼和QQ群號碼數量均為最多,第二、三季度逐漸下降,與一季度相比二季度下降23.0%,三季度下降56.8%。
二、QQ群是主要傳播源
(一)QQ與QQ群關係
通過對勒索軟體預留的QQ號與QQ群的分析,我們發現大部分勒索資訊中都會同時出現QQ號和QQ群號。在相似頁面佈局的勒索頁面中,變化是隻是QQ號而QQ群號基本不變。
例如,QQ群號30****23,與該號碼同時出現有325個不同的QQ號,包含這些QQ號的勒索軟體6千餘個。
2017年上半年,通過該QQ群傳播的勒索軟體累計感染手機近1萬部。感染地區覆蓋全國30多個省市,感染量最多的三個地區是北京(47.0%)、江蘇(35.0%)、廣東(4.0%)。
(二)QQ群共享資源
我們進到一些鎖機QQ群后發現,群裡有人將一些鎖機原始碼、測試視訊、視訊教程、軟體原始碼及製作工具等等上傳到群檔案中,共享給群裡其他人,甚至還有人制作木馬一鍵生成器。
這種一鍵生成器操作簡單,不需要具備程式設計知識而且能夠自定義生成多種型別的手機惡意軟體。由於使用門檻低,造成了勒索軟體從數量、型別上的不斷增長與變化。
三、傳播影響與範圍
通QQ群查詢“鎖機”關鍵字得到的結果,帶有“鎖機”關鍵字標籤的QQ群有200餘個,由此可見QQ群是勒索軟體的主要傳播源。
第三章 勒索軟體定製與工廠化
一、大部分一鍵生成器由簡易工具製作而成
勒索軟體一鍵生成器不僅能夠根據需求定製手機惡意軟體尤其是勒索軟體,而且還能夠批量生產進入工廠化模式,這種一鍵生成器與大部分國內勒索軟體,同樣是使用AIDE開發工具開發。
AIDE是一款用於直接在Android裝置上開發Android應用程式的整合開發環境(IDE)。支援編寫-編譯-除錯執行整個週期,開發人員可以在Android手機或者平板機上建立新的專案,藉助功能豐富的編輯器進行程式碼編寫,支援實時錯誤檢查、程式碼重構、程式碼智慧導航、生成APK,然後直接安裝進行測試。使用AIDE能降低軟體作者的學習成本和開發門檻,同時擁有更靈活和快速修改程式碼的能力。
建立APP工程
APP編譯簽名
二、一鍵生成器介紹
我們從某安卓鎖機原始碼QQ群中下載到名為“APP夢工廠”的一鍵生成器。
經過分析,一鍵生成器包結構主要有兩部分構成,一部分是定製模板,另一部分是簽名工具,均存放在APK包的assets資原始檔夾下。
生成模板共有22種不同型別的軟體,其中包括了12種不同型別的勒索軟體、6種釣魚軟體、2種套路軟體、1種攔截馬軟體以及1種表白軟體。
簽名工具使用的是Android測試證書。
三、生成器製作流程
(一)選擇生成軟體的型別
選擇花式鎖屏,型別包含固定密碼生成、序列號生成、網頁生成、電話生成、隱藏輸入框生成、聲控生成、魔幻粒子版遠端修改密碼生成、時鐘生成、百變序列號生成、搖一搖生成、序列號圖案生成和遠端修改密碼生成。
選擇訊息轉發,型別包括訊息轉發(手機號版)和訊息轉發(郵箱版)
選擇訊息反饋,型別包括訊息反饋1(手機號版)、訊息反饋1(郵箱版)、訊息反饋2(手機號版)和訊息反饋2(郵箱版)
選擇表白軟體,只有一種型別無聲的表白
選擇套路軟體,型別包括金典手機服務和王者榮耀禮包
(二)填寫生成軟體的配置資訊
需要選擇圖示、軟體背景圖檔案路徑、填寫軟體名稱、PIN碼、解鎖密碼以及頁面上顯示的文字內容。
這些自定義的勒索軟體配置資訊,被插入到生成器的模版檔案中,重新簽名後在SD卡目錄下生成定製的APK檔案。
(三)新增生成軟體ROOT鎖
這裡新增ROOT殼,並不是指APK的加固加殼。而是指將之前一鍵生成的勒索軟體以子包的形式隱藏在另一個軟體中,後者偽裝成正常軟體安裝執行後會通過一些文字提示誘導使用者授予ROOT許可權,同時將前者安裝到手機系統軟體目錄中,這種子母包組合的鎖機方式被制馬人稱為“ROOT殼”。
一般偽裝的正常軟體都與ROOT、清理加速、檔案管理相關,主要因為從這些軟體的功能上,更容易讓人們授予ROOT許可權,從而更加順利的隱藏到系統目錄中。
結束語
社交網路的飛速發展,讓人與人之間的溝通變得更加方便。由於社交網路平臺的靈活多變,也讓一些人能夠更加輕鬆的獲取、傳播惡意軟體,平臺的監管也帶來了更大的困難。
制馬人肆無忌憚製作、傳播勒索軟體進行勒索敲詐,並且大膽留下自己的QQ、微信以及支付寶賬號等個人聯絡方式,主要是因為他們年齡小,法律意識淡薄,認為涉案金額少,並沒有意識到觸犯法律。甚至以此作為賺錢手段,並作為向他人進行炫耀的資本,加速了手機勒索軟體的演變。
惡意軟體一鍵生成器取代了人工繁瑣的程式碼編寫、編譯過程,進一步降低了製作門檻,不僅生成速度變快,並且能夠根據需要進行定製。
自從WannaCry勒索病毒全球大爆發後,國內效仿的勒索軟體層出不窮。以加密檔案方式進行敲詐勒索的手機勒索惡意軟體逐漸出現,改變了之前的手機鎖屏勒索的方式。手機勒索軟體技術上更加複雜,造成的使用者額外損失更加嚴重,同時也給安全廠商帶來更大的挑戰。