【安全报告】ANDROID勒索软件黑产研究 ——恶意软件一键生成器

http://p1.qhimg.com/t0191c5130c818a9474.jpg

作者:360烽火实验室 & 360手机卫士

投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿

 

摘要

2017年1月至9月,360烽火实验室共捕获手机勒索恶意软件50万余个,平均每月捕获手机勒索软件5.5万余个。语音识别、二维码和文件加密等新型勒索软件不断涌现。

社交网络服务被滥用,2017年前三季度,360烽火实验室发现勒索信息中新增QQ号码7.7万余个,QQ群号码1千余个。其中,一季度新增QQ号码和QQ群号码数量均为最多,第二、三季度逐渐下降,与一季度相比二季度下降23.0%,三季度下降56.8%。

大部分勒索信息中都会同时出现QQ号和QQ群号。在相似页面布局的勒索页面中,变化是只是QQ号而QQ群号基本不变。

锁机源码、测试视频、视频教程、软件源码及制作工具等等上传到群文件中,共享给群里其他人,甚至还有人制作木马一键生成器。

通QQ群查询“锁机”关键字得到的结果,带有“锁机”关键字标签的QQ群有200余个,由此可见QQ群是勒索软件的主要传播源。

大部分一键生成器由简易工具AIDE制作而成,一键生成器能够制作22种不同类型的软件,其中包括了12种不同类型的勒索软件、6种钓鱼软件、2种套路软件、1种拦截马软件以及1种表白软件。

生成流程包括三个部分,选择生成软件的类型、填写生成软件的配置信息和添加生成软件ROOT锁。

第一章研究背景

一、手机勒索软件肆虐严重

今年5月,WannaCry勒索病毒全球大爆发,至少150个国家、30万名用户中招,造成损失达80亿美元,已经影响到金融,能源,医疗等众多行业,造成严重的危机管理问题。中国部分Windows操作系统用户遭受感染,校园网用户首当其冲,受害严重,大量实验室数据和毕业设计被锁定加密。部分大型企业的应用系统和数据库文件被加密后,无法正常工作,影响巨大。

面对这突如其来的病毒攻击,勒索软件成为人们热点关注的话题。相比PC的勒索软件,手机勒索软件近年来在数量和种类上也得到了逐渐迅猛发展演变。

2017年1月至9月,360烽火实验室共捕获手机勒索恶意软件50万余个,平均每月捕获手机勒索软件5.5万余个。其中1月到5月手机勒索软件呈现波动式增长,6月份网警在芜湖、安阳将勒索病毒制作者男子陈某及主要传播者晋某抓获,全国首例手机勒索病毒案告破,在6月份以后新增数量急剧下降,手机勒索软件制作者得到了一定震慑作用。

 http://p1.qhimg.com/t01d29e0f2a1822d354.png

图1


二、新型勒索软件不断涌现

今年我们发现了勒索软件使用的三种新型的技术手段:语音识别、二维码和文件加密。语音识别采用STT(Speech to Text)技术,不再使用手动键入密码来解锁,通过使用者的语音输入,进行识别、匹配从而进行解锁;二维码技术手段是通过扫描制马人生成的二维码进行转账支付勒索金额,整个转账过程中双方信息交互仅为微信用户的昵称与转账账目相关信息,微信用户的昵称可以随意改变且不唯一,转账过程中不涉及双方微信账号的信息,转账后无法自动解锁,让受害者再次陷入制马人的骗局中。

 http://p3.qhimg.com/t01ced854194a68e83a.png

图2 

文件加密类型的勒索软件,虽然在国外早已出现,但在国内之前还并不常见,在受到了PC端的WannaCry勒索病毒大爆发影响后,国内开始出现仿冒页面布局、图片及功能的手机版WannaCry勒索病毒,甚至将手机版可编译的源码上传至Github。

 http://p0.qhimg.com/t01fcb5b3a7f447a3d5.png

图3

今年6月,我们发现了一款冒充时下热门手游“王者荣耀”辅助工具的手机勒索恶意软件,会对手机中照片、下载、云盘等目录下的个人文件进行加密。并向用户勒索赎金,金额在20元、40元不等。并且宣称三天不交赎金,价格将翻倍,七天不交,将删除所有加密文件。这个恶意软件由于可以在加密算法、密钥生成算法上进行随机的变化,甚至可以选择对生成的病毒样本进行加固混淆,很大程度上增加了修复难度,对手机中文件和资料造成了严重破坏。

第二章社交网络成为勒索软件主要传播渠道

一、QQ服务被滥用

我们发现勒索软件在勒索页面的设计和文字上都有很多相似的地方,其中最为典型的特征是勒索页面中都留有制马人联系方式,方便中招的受害者与制马人联系,以便制马人对受害者进行敲诈勒索,这些联系方式几乎都是QQ号或者是QQ群。

 http://p0.qhimg.com/t011016ab85b222b064.png

图4

2017年前三季度,360烽火实验室发现勒索信息中新增QQ号码7.7万余个,QQ群号码1千余个。其中,一季度新增QQ号码和QQ群号码数量均为最多,第二、三季度逐渐下降,与一季度相比二季度下降23.0%,三季度下降56.8%。

 http://p9.qhimg.com/t01455cb00b12ad2a9f.png

图5

二、QQ群是主要传播源

(一)QQ与QQ群关系

通过对勒索软件预留的QQ号与QQ群的分析,我们发现大部分勒索信息中都会同时出现QQ号和QQ群号。在相似页面布局的勒索页面中,变化是只是QQ号而QQ群号基本不变。

 http://p7.qhimg.com/t018b6057e76b75d43e.png

图6

例如,QQ群号30****23,与该号码同时出现有325个不同的QQ号,包含这些QQ号的勒索软件6千余个。

2017年上半年,通过该QQ群传播的勒索软件累计感染手机近1万部。感染地区覆盖全国30多个省市,感染量最多的三个地区是北京(47.0%)、江苏(35.0%)、广东(4.0%)。

 http://p3.qhimg.com/t01ea4bae241d922111.png

图7

(二)QQ群共享资源

我们进到一些锁机QQ群后发现,群里有人将一些锁机源码、测试视频、视频教程、软件源码及制作工具等等上传到群文件中,共享给群里其他人,甚至还有人制作木马一键生成器。

这种一键生成器操作简单,不需要具备编程知识而且能够自定义生成多种类型的手机恶意软件。由于使用门槛低,造成了勒索软件从数量、类型上的不断增长与变化。

  http://p0.qhimg.com/t0182f3c84bf783d7f9.png

图8

三、传播影响与范围

通QQ群查询“锁机”关键字得到的结果,带有“锁机”关键字标签的QQ群有200余个,由此可见QQ群是勒索软件的主要传播源。

  http://p7.qhimg.com/t016d8fce720c5ca42d.png

图9

第三章勒索软件定制与工厂化

一、大部分一键生成器由简易工具制作而成

勒索软件一键生成器不仅能够根据需求定制手机恶意软件尤其是勒索软件,而且还能够批量生产进入工厂化模式,这种一键生成器与大部分国内勒索软件,同样是使用AIDE开发工具开发。

AIDE是一款用于直接在Android设备上开发Android应用程序的集成开发环境(IDE)。支持编写-编译-调试运行整个周期,开发人员可以在Android手机或者平板机上创建新的项目,借助功能丰富的编辑器进行代码编写,支持实时错误检查、代码重构、代码智能导航、生成APK,然后直接安装进行测试。使用AIDE能降低软件作者的学习成本和开发门槛,同时拥有更灵活和快速修改代码的能力。

创建APP工程

 http://p8.qhimg.com/t017603c7a04cbe2319.png

图10

APP编译签名

 http://p1.qhimg.com/t01c9301ea14ebf56a3.png

图11

二、一键生成器介绍

我们从某安卓锁机源码QQ群中下载到名为“APP梦工厂”的一键生成器。

 http://p1.qhimg.com/t01e5c54de73fc3c3b0.png

图12

经过分析,一键生成器包结构主要有两部分构成,一部分是定制模板,另一部分是签名工具,均存放在APK包的assets资源文件夹下。

 http://p7.qhimg.com/t01e94d32de219c1cd0.png

图13

生成模板共有22种不同类型的软件,其中包括了12种不同类型的勒索软件、6种钓鱼软件、2种套路软件、1种拦截马软件以及1种表白软件。

 http://p5.qhimg.com/t01ded4f817a283beaf.png

图14

签名工具使用的是Android测试证书。

 http://p4.qhimg.com/t01ad27bb041fbac17f.png

图15

三、生成器制作流程

(一)选择生成软件的类型

选择花式锁屏,类型包含固定密码生成、序列号生成、网页生成、电话生成、隐藏输入框生成、声控生成、魔幻粒子版远程修改密码生成、时钟生成、百变序列号生成、摇一摇生成、序列号图案生成和远程修改密码生成。

http://p4.qhimg.com/t0178c29428a89b8a34.png

图16

选择消息转发,类型包括消息转发(手机号版)和消息转发(邮箱版)

 http://p5.qhimg.com/t01c59656682758c689.png

图17

选择消息反馈,类型包括消息反馈1(手机号版)、消息反馈1(邮箱版)、消息反馈2(手机号版)和消息反馈2(邮箱版)

 http://p4.qhimg.com/t01f75e089a03bde387.png

图18

选择表白软件,只有一种类型无声的表白

 http://p6.qhimg.com/t0141391399ebc067d4.png

图19

选择套路软件,类型包括金典手机服务和王者荣耀礼包

 http://p9.qhimg.com/t016415f56269f94b8b.png

图20

(二)填写生成软件的配置信息

需要选择图标、软件背景图文件路径、填写软件名称、PIN码、解锁密码以及页面上显示的文字内容。

 http://p4.qhimg.com/t0134b98bc7baa6310f.png

图21

这些自定义的勒索软件配置信息,被插入到生成器的模版文件中,重新签名后在SD卡目录下生成定制的APK文件。

 http://p7.qhimg.com/t0167104721f0fe1b92.png

图 22

(三)添加生成软件ROOT锁

这里添加ROOT壳,并不是指APK的加固加壳。而是指将之前一键生成的勒索软件以子包的形式隐藏在另一个软件中,后者伪装成正常软件安装运行后会通过一些文字提示诱导用户授予ROOT权限,同时将前者安装到手机系统软件目录中,这种子母包组合的锁机方式被制马人称为“ROOT壳”。

一般伪装的正常软件都与ROOT、清理加速、文件管理相关,主要因为从这些软件的功能上,更容易让人们授予ROOT权限,从而更加顺利的隐藏到系统目录中。

 http://p0.qhimg.com/t01f4cea06c63cc914c.png

图23

结束语

社交网络的飞速发展,让人与人之间的沟通变得更加方便。由于社交网络平台的灵活多变,也让一些人能够更加轻松的获取、传播恶意软件,平台的监管也带来了更大的困难。

制马人肆无忌惮制作、传播勒索软件进行勒索敲诈,并且大胆留下自己的QQ、微信以及支付宝账号等个人联系方式,主要是因为他们年龄小,法律意识淡薄,认为涉案金额少,并没有意识到触犯法律。甚至以此作为赚钱手段,并作为向他人进行炫耀的资本,加速了手机勒索软件的演变。

恶意软件一键生成器取代了人工繁琐的代码编写、编译过程,进一步降低了制作门槛,不仅生成速度变快,并且能够根据需要进行定制。

自从WannaCry勒索病毒全球大爆发后,国内效仿的勒索软件层出不穷。以加密文件方式进行敲诈勒索的手机勒索恶意软件逐渐出现,改变了之前的手机锁屏勒索的方式。手机勒索软件技术上更加复杂,造成的用户额外损失更加严重,同时也给安全厂商带来更大的挑战。

(完)