记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

勒索软件的魔掌已经伸向了移动设备

2020-05-02 13:37

勒索攻击是安全领域常见的恶意软件,常见的有CryptoLocker、WannaCry和Ryuk。这些勒索软件对企业和个人带来的大量的伤害。但这些勒索软件主要攻击的电脑和服务器,攻击移动设备的勒索软件还很少。Check Point研究人员2018年9月发现了的Black Rose Lucy就是针对移动设备的恶意软件。Lucy是一款针对安卓设备的Malware-as-a-Service (MaaS,恶意软件即服务)和释放器。近2年后,近日Lucy新加入了勒索软件的功能,可以控制受害者设备做出不同的变化和安卓新的恶意应用。

概述

下载后,Lucy会加密受感染设备上的文件,并在浏览器窗口现实一个勒索信息,称是来自美国FBI的官方消息,起诉受害者在设备上处理色情内容。勒索信息称锁定设备后,用户详细信息已经上传到美国FBI网络犯罪部数据中心。受害者需要通过信用卡而非勒索软件中常见的比特币来支付500美元的罚款。研究人员共发现了超过80个Lucy相关的样本通过社交媒体链接和即时消息app来传播。

Lucy会通过弹窗消息诱使用户启动accessibility服务,用户点击ok后,就会授予恶意软件使用accessibility服务。然后,Lucy就可以初始化其计划来加密受害者设备上的数据。

图 1. 恶意软件弹窗诱使受害者启用accessibility服务

技术细节

研究人员发现这些样本伪装成视频播放器应用,使用安卓的accessibility服务在没有用户交互的情况下安装payload,恶意软件还创建了一个自保护机制。

初始化

恶意软件首先注册一个名为uyqtecppxr的接收器(receiver)来运行BOOT_COMPLETE和QUICKBOOT_POWERON来检查设备的国家码是否来自前苏联国家。

然后,Lucy通过模拟Alert Dialog(告警对话)来要求用户采取措施,诱使用户启用Accessibility服务。

在MainActivity 模块中,应用触发了恶意服务,然后注册一个命令action.SCREEN_ON 调用的BroadcastReceiver,然后调用。这是用来获取‘WakeLock’ 服务,可以保持设备屏幕开启,‘WifiLock’ 服务用来保持Wifi开启。

通信

恶意软件代码中有4个加密的C2服务器。与之前的版本不同,C2是域名而不是IP地址。C2的域名中夹杂了很多无用的数据。

图 2. 恶意软件中的C2服务器地址(包含无用数据)代码

图 3.  恶意软件C2服务器

 

恶意软件会在不同的C2之间循环,每个都会由不同的API和URI调用。

图 4. 恶意软件在不同的C2服务器和URI之间变化

C2命令

C2服务器可以发送不同的命令给恶意软件,并且在受害者设备上执行。恶意软件接收的C2命令如下所示:

image.png

文件解密/解密

恶意软件会接收一个名为key的字符串,这也是来自C2服务器的响应。字符串会被// 分拆为2部分。

然后,会调用一个新的服务,尝试从所有设备的目录中取回一个数组。如果失败,就尝试取回directory /storage,最后尝试取/sdcard目录。

图 5 恶意软件尝试取回受害者设备目录

加密过程首先遍历它在上一阶段收到的目录数组中的文件。

在加密之前,恶意软件会执行一些检查,比如长度和权限,来确保文件是加密或解密的。之后检查文件是否成功加密。

Lucy在加密过程中还会模拟密钥生成,但是使用的是固定seed 0x100的AES算法。但这一动作好像是没用的,因为结果并没有保存在变量中。

图 6. 生成(错误的)key

真实的加密key是由‘SecretKeySpec’字符串的前一部分和从SharedPreferences中取回的key组成的。

这些key与目录数组、作为加密和解密模式的布尔变量一起作为参数发送给加密/解密函数。

图 7. 恶意软件的加密/解密函数

恶意软件完成设备上的文件加密后,会执行检查来验证文件是否成功加密,然后在浏览器窗口展示勒索信息。

勒索信息称是来自美国FBI的官方消息,要起诉受害者在设备上处理了色情信息。所以,设备上所有的内容都被加密和锁定了。勒索信息称用户详细信息已经上传到美国FBI网络犯罪部数据中心。受害者需要通过信用卡而非勒索软件中常见的比特币来支付500美元的罚款。

图 8. Lucy勒索信

加密和解密的过程非常相似。除了加密的过程中会在文件加上.Lucy扩展,解密的时候会在文件尾部移除.Lucy扩展,和调用不同的布尔参数值(分别表示加密和解密)。

在加密和解密过程中,研究人员还发现了几个关键组件的角色:

·‘SecretKeySpec’是加密密钥的第一部分,是来自第一阶段的C2服务器响应。

· 来自SharedPreferences的key字符串的密钥的第二部分。

这两部分引起组成了加密/解密密钥。

解密完成后,恶意软件会发送日志来通知所有的文件都成功解密了。然后,恶意软件会修改当前命令为“Delete”来删除自己。

总结

虽然之前没用很多的手机(移动)勒索软件,但研究人员这是一个趋势。手机勒索软件变得越来越复杂和高效,比如Lucy就是手机恶意软件发展中的一个重要的里程碑。迟早,手机会遇到大规模、破坏性的勒索软件攻击。

本文翻译自:https://research.checkpoint.com/2020/lucys-back-ransomware-goes-mobile/如若转载,请注明原文地址:
知识来源: https://www.4hou.com/posts/7O6w

阅读:24291 | 评论:0 | 标签:移动

想收藏或者和大家分享这篇好文章→复制链接地址

“勒索软件的魔掌已经伸向了移动设备”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云

本页关键词