ESET最近发现了一款新的Android勒索软件,它通过向受害者的手机的联系人列表发送恶意短信继续传播
最近ESET研究人員發現了一個新的Android勒索軟件家族,它們試圖通過向受害者的手機的聯系人列表發送惡意短信繼續傳播。
在Android勒索軟件遭遇兩年的衰退之后,一個新的Android勒索軟件家族又出現了。目前,該家族已經被ESET Mobile Security檢測到,并被定義為Android / Filecoder.C。目前該勒索軟件正在通過各種在線論壇進行傳播。借助受害者的聯系人列表,然后將帶有惡意鏈接的短信進一步傳播。由于目標范圍狹窄,并且在執行過程中存在缺陷,這種新的勒索軟件的攻擊力還是有限的。但是,如果幕后的開發者開始定位更廣泛的用戶群,Android / Filecoder.C勒索軟件可能會成為一個嚴重的威脅。PHP大馬
通過長期以來的跟蹤,Android/Filecoder.C自2019年7月12日起一直處于活躍狀態。在我們發現的活動中,Android / Filecoder.C已經通過Reddit上的惡意帖子和“XDA Developers”論壇(Android開發者論壇)進行了大量傳播。不過很快,我們就向XDA Developers和Reddit報告了此惡意活動。截止發稿,XDA DEVELOPERS論壇上的帖子被迅速刪除,不過目前惡意Reddit配置文件在發布時仍處于運行狀態。
Android/Filecoder.C通過帶有惡意鏈接的短信進一步傳播,這些鏈接被發送給受害者聯系人列表中的所有聯系人。
在勒索軟件發出這些惡意短信之后,它會加密設備上的大多數用戶文件,并要求受害者支付贖金。
使用ESET Mobile Security的用戶會收到有關惡意鏈接的警告,如果用戶執意忽略警告并繼續下載應用程序,安全解決方案將強行阻止惡意軟件的運行。
惡意攻擊的統計
我們發現的廣告系列基于兩個域(請參閱下面的IoC部分),由攻擊者控制,其中包含用于下載的惡意Android文件。攻擊者通過發布或評論Reddit(圖1)或XDA DEVELOPERS(圖2)來吸引潛在受害者點擊這些域。
大多數情況下,帖子的主題與色情有關。除此之外,我們也看到了用技術主題作誘餌的帖子。在所有評論或帖子中,都包含指向惡意應用程序的鏈接或QR代碼。
攻擊者的Reddit配置文件,包含惡意帖子和評論
攻擊者在XDA DEVELOPERS論壇上發布的一些惡意帖子
在Reddit上共享的一個鏈接中,攻擊者使用了短網址bit.ly。經調查這個bit.ly URL是在2019年6月11日創建的,其統計數據如下圖所示,截至撰寫本文時,來自不同來源和國家的點擊量已達到59次。
勒索軟件活動期間在Reddit上共享的bit.ly鏈接的統計信息
傳播過程
如前所述,Android/Filecoder.C勒索軟件通過短信將鏈接傳播到受害者聯系人列表中的所有目錄。
這些消息包括勒索軟件的鏈接,為了增加潛在受害者的點擊概率,這個鏈接被顯示為一個應用程序的鏈接,且該應用程序可能使用潛在受害者的照片,如下圖所示。天天好彩
為了擴展其攻擊范圍,勒索軟件有42種語言版本的消息模板,如圖5所示。在發送消息之前,它選擇適合受害者設備的語言設置的版本。為了個性化這些消息,惡意軟件會將聯系人的姓名添加到這些消息之前,以顯得真實,增加迷惑性。
帶有勒索軟件鏈接的短信,如果發送設備將語言設置為英語,則發送此切換到英文
勒索軟件中硬編碼了42種語言版本
惡意功能
一旦潛在受害者收到帶有惡意應用程序鏈接的短信,他們需要手動安裝它。應用程序啟動后,它將顯示傳播它的帖子中承諾的內容。通常,它是一個在線性愛模擬游戲。然而,其主要目的是C&C通信,傳播惡意消息和實施加密或解密機制。
對于C&C通信,惡意軟件的源代碼中包含硬編碼的C&C和比特幣地址。但是,它也可以動態檢索它們:攻擊者可以使用免費的Pastebin服務隨時更改它們。
Pastebin是一個便簽類站點,用戶可以在該平臺任意儲存純文本,例如代碼,文字等內容。Pastebin支持的編程語言種類也非常齊全,還會自動判斷語言類型并高亮顯示代碼內容。除了直接在網頁內操作外,Pastebin 最大的特色是提供了許多相關工具和應用,包括 Windows、Mac、UNIX、Firefox、Chrome、Opera、iPhone/iPad、Android、WinPhone 以及 WebOS 等等,讓使用者隨時隨地都能夠存取使用。但從安全分析和威脅情報的角度來看,Pastebin卻是一個信息收集的寶庫。特別是那些上傳到pastebin卻未明確設置為private(需要一個賬戶)的內容,將會被所有人公開查閱。
勒索軟件檢索C&C地址的一組地址的示例
由于可以訪問用戶的聯系人列表,勒索軟件具有發送文本消息的能力。在加密文件之前,它使用上面描述的傳播技術向每個受害者的聯系人發送一條消息。
接下來,勒索軟件會遍歷可訪問存儲上的文件(即除了系統文件所在位置外的所有設備存儲部分) ,并對其中大部分進行加密(具體解釋,請參閱下面的“文件加密機制”一節)。文件加密后,勒索軟件會顯示其勒索信息(英文),如下圖示。
Android/Filecoder.C顯示的勒索信息
不過,正如贖金說明中所述,如果受害者刪除了這個應用程序,則勒索軟件將無法解密文件。此外,根據我們的分析,勒索軟件的代碼中沒有任何內容支持聲稱受影響的數據將在72小時后丟失。
如下圖所示,請求的贖金部分是動態變化的。將要請求的比特幣數量的第一部分是硬編碼的,值為0.01,而剩余的六位數是惡意軟件生成的用戶ID。
這種獨特的做法可能有助于識別收到的贖金金額,因為在Android勒索軟件中,這通常是通過為每個加密設備生成一個單獨的比特幣錢包來實現的。根據最近每比特幣的價格,贖金將落在94-188美元之間(假設唯一ID是隨機生成的)。
惡意軟件如何計算贖金
與典型的Android勒索軟件不同,Android / Filecoder.C不會通過鎖定屏幕來阻止設備的使用。
如下圖所示,在撰寫本文時,所提到的比特幣地址可以動態改變,但在我們看到的所有樣本中,地址都是不變的,沒有記錄任何交易。
攻擊者使用的比特幣地址
文件加密機制
勒索軟件使用的是非對稱和對稱加密,首先,它會生成一個公鑰和私鑰對。此私鑰使用RSA算法加密,其中硬編碼的公鑰存儲在代碼中并發送到攻擊者的服務器。攻擊者可以解密該私鑰,并在受害者支付贖金后,將該私鑰發送給受害者以解密他們被加密的文件。
加密文件時,勒索軟件會為每個要加密的文件生成一個新的AES密鑰。然后使用公鑰對此AES密鑰進行加密,并將其添加到每個加密文件中,從而生成以下模式: ( (AES)public_key + (File)AES ).seven。
文件結構如下圖所示:
加密文件結構概述
勒索軟件通過訪問可訪問的存儲目錄來加密以下文件類型:
“.doc”,?“.docx”,?“.xls”,?“.xlsx”,?“.ppt”,?“.pptx”,?“.pst”,?“.ost”,?“.msg”,?“.eml”,?“.vsd”,?“.vsdx”,?“.txt”,?“.csv”,?“.rtf”,?“.123”,?“.wks”,?“.wk1”,?“.pdf”,?“.dwg”,?“.onetoc2”,?“.snt”,?“.jpeg”,?“.jpg”,?“.docb”,?“.docm”,?“.dot”,?“.dotm”,?“.dotx”,?“.xlsm”,?“.xlsb”,?“.xlw”,?“.xlt”,?“.xlm”,?“.xlc”,?“.xltx”,?“.xltm”,?“.pptm”,?“.pot”,?“.pps”,?“.ppsm”,?“.ppsx”,?“.ppam”,?“.potx”,?“.potm”,?“.edb”,?“.hwp”,?“.602”,?“.sxi”,?“.sti”,?“.sldx”,?“.sldm”,?“.sldm”,?“.vdi”,?“.vmdk”,?“.vmx”,?“.gpg”,?“.aes”,?“.ARC”,?“.PAQ”,?“.bz2”,?“.tbk”,?“.bak”,?“.tar”,?“.tgz”,?“.gz”,?“.7z”,?“.rar”,?“.zip”,?“.backup”,?“.iso”,?“.vcd”,?“.bmp”,?“.png”,?“.gif”,?“.raw”,?“.cgm”,?“.tif”,?“.tiff”,?“.nef”,?“.psd”,?“.ai”,?“.svg”,?“.djvu”,?“.m4u”,?“.m3u”,?“.mid”,?“.wma”,?“.flv”,?“.3g2”,?“.mkv”,?“.3gp”,?“.mp4”,?“.mov”,?“.avi”,?“.asf”,?“.mpeg”,?“.vob”,?“.mpg”,?“.wmv”,?“.fla”,?“.swf”,?“.wav”,?“.mp3”,?“.sh”,?“.class”,?“.jar”,?“.java”,?“.rb”,?“.asp”,?“.php”,?“.jsp”,?“.brd”,?“.sch”,?“.dch”,?“.dip”,?“.pl”,?“.vb”,?“.vbs”,?“.ps1”,?“.bat”,?“.cmd”,?“.js”,?“.asm”,?“.h”,?“.pas”,?“.cpp”,?“.c”,?“.cs”,?“.suo”,?“.sln”,?“.ldf”,?“.mdf”,?“.ibd”,?“.myi”,?“.myd”,?“.frm”,?“.odb”,?“.dbf”,?“.db”,?“.mdb”,?“.accdb”,?“.sql”,?“.sqlitedb”,?“.sqlite3”,?“.asc”,?“.lay6”,?“.lay”,?“.mml”,?“.sxm”,?“.otg”,?“.odg”,?“.uop”,?“.std”,?“.sxd”,?“.otp”,?“.odp”,?“.wb2”,?“.slk”,?“.dif”,?“.stc”,?“.sxc”,?“.ots”,?“.ods”,?“.3dm”,?“.max”,?“.3ds”,?“.uot”,?“.stw”,?“.sxw”,?“.ott”,?“.odt”,?“.pem”,?“.p12”,?“.csr”,?“.crt”,?“.key”,?“.pfx”,?“.der”但是,它不會加密包含字符串“.cache”,“tmp”或“temp”的目錄中的文件。
如果文件擴展名為“.zip”或“.rar”且文件大小超過51200 KB 或者50 MB,勒索軟件也不加密這些文件。另外小于150 KB的 “.jpeg”,“.jpg”和“.png”文件也不會成為加密對象。
文件類型列表包含一些與Android無關的目錄,同時缺少一些典型的Android擴展,如.apk、.dex等。顯然,該列表是從臭名昭著的WannaCry勒索軟件中復制而來的。
文件加密后,文件擴展名“.seven”將附加到原始文件名后,如下圖所示。
擴展名為“.seven”的加密文件
解密機制
用于解密加密文件的代碼其實就存在于勒索軟件中,如果受害者支付贖金,勒索軟件操作員則可以通過下圖中所示的網站進行驗證,并發送私鑰解密文件。
贖金支付驗證網頁
緩解措施
1.讓你的設備及時更新,最好將它們設置為自動修補和更新,這樣你能隨時受到最新的保護。
2.如果可能,請使用Google Play或其他信譽良好的應用商店,下載應用。
3.在安裝任何應用程序之前,請檢查其評級和評論。多看看負面評價的消息,因為它們通常4.來自合法用戶,而積極的反饋往往是由攻擊者制定的。
5.留意應用程序請求的權限,如果它們與應用程序匹配的功能不符,請不要下載應用程序。
攻擊指標(IoC)
總結
以上是生活随笔為你收集整理的ESET最近发现了一款新的Android勒索软件,它通过向受害者的手机的联系人列表发送恶意短信继续传播的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 学python之前先掌握-成为黑客前,你
- 下一篇: 知识点记录