-
-
[翻译]安卓勒索软件的崛起
-
发表于: 2017-3-6 10:43
-
目录
概要
安卓上的勒索软件
常见的感染载体
恶意软件c&c通信
恶意软件自我保护
安卓勒索软件大事记
安卓防守者
勒索软件与假av,与...色情
警察勒索软件
Simplocker
Simplocker分发载体
英语版Simplocker
Lockerpin
Lockerpin的进攻性自卫
Jisut
Charger
如何使您的安卓受到保护
概要
安卓勒索软件界在2016出现了一些有趣的发展。勒索软件目前是所有平台中最紧迫的网络安全问题之一,包括这个(注:安卓)最流行的移动平台。
锁屏类型和文件加密“加密勒索软件”的作者已经在过去12个月从桌面恶意软件学到了有效的技术,并开发出了自己的精密方法,以专门针对运行安卓设备的目标。
除了锁屏“警察勒索软件”使用的最普遍的恐吓策略,网络犯罪分子越加努力地通过加密和埋藏恶意的有效载荷到被感染的应用软件深处的方式保持低调。
在2015年,ESET(Enjoy Safer Technology)观察到,安卓勒索软件运营商的重点从东欧移动到美国移动用户。然而,去年也反应出攻击者对亚洲市场越来越感兴趣,开始使用本地化的中文赎金消息的Jisut锁定屏幕可以证明这一点。这种增加的活动出于这个现在臭名昭着的恶意软件家族的日益普遍,在过去12个月翻了一番。
在本文的第一部分,我们给出勒索软件的定义,看看ESET的遥感检测,以查看这种网络威胁的当前趋势,并分析适用于安卓上的勒索软件的恶意软件细节。主要部分详细介绍了自2014年以来最值得注意的安卓勒索软件示例。最后一章向安卓用户提供建议。
安卓上的勒索软件
勒索软件,顾名思义,是这样一类恶意软件:要求感染用户给出一笔钱,交换条件是承诺“释放”劫持的资源。贴上“勒索软件”标签的恶意软件分为两大类:
*锁屏勒索软件
*加密勒索软件
在锁屏类型的勒索软件中,被劫持的资源是访问被攻陷了的系统的权限。在文件加密“加密勒索软件”中,劫持资源是用户的文件。
这两种类型在Windows平台上一直是一个非常普遍的问题,自2013年以来,勒索软件开始越来越受到网络犯罪分子的欢迎,即使它已经存在了很多年。勒索软件感染已经对个人和企业造成麻烦。
由于安卓恶意软件方面最引人注目的趋势之一是恶意软件编写者已经向这个平台带来了在Windows上被证明是成功的恶意软件技术,因此预期在最流行的移动平台上出现勒索软件,并且已经观察到几年了。
根据ESET LiveGrid®,安卓勒索软件检测的数量与往年相比增长了50%以上,2016年上半年出现最大峰值。
图1:安卓勒索软件检测趋势,来自ESET LiveGrid®
随着越来越多的消费者从PC切换到移动,越来越多的有价值的数据存储在我们都携带的设备上,使得安卓勒索软件对攻击者来说越加有价值。
常见的感染载体
在2016年,ESET专家记录了一种新兴趋势,安卓勒索软件通过电子邮件传播。攻击者一直使用社会工程来操纵受害者点击电子邮件中的恶意链接,并将他们重定向到受感染的安卓应用程序包(APK)(注:从而下载这个恶意应用软件)。
然而,安卓恶意软件——勒索软件以及大多数其他类型——通常满足木马的定义:它通过伪装成合法应用程序传播。 通常选择热门应用程序(例如热门游戏或色情相关应用程序),以增加受害者下载恶意软件的可能性。
在某些情况下,恶意APK只承载合法应用程序的名称和图标,而在其他情况下,恶意软件作者会使用现有应用程序并添加恶意代码,保留原始功能。对于本质上不依赖于像勒索软件(例如,后门或SMS木马)一样的视觉表现的恶意软件,这增加了恶意行为将被忽视的机会。当然,由于这样的修改将破坏(应用软件)包的数字签名,因此必须在与原始账户不同的开发者账户下重新签名和提交。
除了一个例外,本文中描述的勒索软件示例都没有在官方Google Play商店上找到。然而,有许多恶意软件成功绕过Google不断改进的安全措施的情况。ESET的研究人员发现并向Google报告了数百个安卓恶意软件样本,包括假的应用程序和假冒的AV恫吓软件,凭证钓鱼间谍软件,用于点击欺诈、后门、广告显示的PUA(潜在不需要的应用程序)和其他PUA等的木马。
恶意软件编写者也开始使用更复杂的方法来传播他们感染的应用程序。为了避免不必要的注意,攻击者已经开始加密恶意有效载荷,将它们埋在应用程序中更深入——通常将它们移动到资产文件夹,通常用于图片或其他必要的内容。受感染的应用程序通常看上去似乎没有附加功能,但实际却是能够解密和运行隐藏的勒索软件有效载荷的解密器。但是,使用技术上更先进的技术,如漏洞驱使的网站挂马攻击(原文:exploit-driven drive-by downloads),在安卓上不是很常见。
恶意软件c&c通信
成功安装后,大多数安卓恶意软件“向家里报告”,即连接命令和控制(C&C)服务器。
在某些情况下,报告仅用于跟踪感染,发送回基本设备信息,如设备型号、IMEI号码、设备语言等。或者,如果建立了永久C&C通信信道,则该木马可以侦听并执行由恶意软件操作者发送的命令。这会在受攻击者控制下创建受感染安卓设备的僵尸网络。
安卓勒索软件支持的命令的一些示例,除了其锁定设备和显示赎金消息的主要范围之外,包括:
•擦除设备
•重置锁屏PIN(个人标识号码)
•在手机的浏览器中打开任意URL
•向任何或所有联系人发送短信
•锁定或解锁设备
•窃取接收的短信
•窃取联系人
•显示不同的赎金消息
•更新到新版本
•启用或禁用流量
•启用或禁用Wi-Fi
•跟踪用户的GPS位置
通常使用的通信协议是HTTP。但在少数情况下,我们还发现恶意软件通过Google云消息传递与C&C进行通信。此服务使开发人员能够在安卓设备上安装的应用程序之间发送和接收数据。安卓恶意软件也使用的类似协议是百度云推送。我们分析的一些恶意软件示例使用了Tor.onion域或XMPP(Jabber)协议。或者,安卓木马可以接收命令,以及使用内置的短信功能发送数据。
恶意软件自我保护
用安卓恶意软件感染受害者的设备对攻击者来说不是一件轻而易举的事情。即使对于没有反恶意软件解决方案(如ESET Mobile Security)的用户,也有Google自己的防御措施。当然,一旦他们成功克服了这些障碍,他们想要确保他们的恶意代码尽可能长地留在设备上。
Android/Lockerpin被观察到几种自我保护技术,包括试图杀死属于反恶意软件应用程序的进程。
我们在越来越多的安卓恶意软件中开始看到的最通用的技术之一是获得设备管理员权限。请注意,设备管理员权限与root访问权限不同,如果恶意软件获取该权限会更加危险。
图2:请求设备管理员权限的安卓恶意软件示例
为了获得它们,恶意软件使用点击提升(click jacking or tap jacking)技术,其创建两个覆盖层——向用户显示假的上层和激活设备管理员权限的下层。通过点击前台Activity(注:安卓UI组件,指假的上层),受害者不知不觉地点击在后台的那一个(注:下层)而扩大恶意代码的权限。
合法的设备管理员应用程序针对各种(主要是安全相关)原因使用这些扩展权限。然而,恶意软件使用此安卓功能保护自身防止卸载。在卸载此类应用程序之前,必须首先撤销其设备管理员权限。某些恶意软件(如Android/Lockerpin)还会使用仅适用于设备管理员应用程序的额外权限来设置或更改锁定屏幕PIN。
安卓勒索软件大事记
在安卓上第一次出现勒索软件的案例中,勒索功能被添加到假冒(流氓)反病毒(注:软件中)。
假冒AV(注:应是指antiviruse反病毒)是一种恶意软件类型,已经存在了很长时间——安卓上从2012开始,而桌面平台至少从2004年起。顾名思义,他们显示出一个假的设备文件的防病毒扫描,然后尝试诱骗用户付钱,以消除文件被认为感染的威胁。它们也被称为“scareware”(注:译为恫吓软件),因为他们在恫吓以使他们相信他们的设备受到感染后向受害人勒索付款。
恶意AV通常不被认为是勒索软件——虽然他们也试图从受害者那里获取钱,他们通常依赖说服而不是勒索,被骗用户通常认为他们在向合法产品付钱。然而,一些假AV作者决定通过添加锁屏勒索软件行为使他们的软件更加激进。
在Windows上的大多数锁屏勒索软件属于所谓的警察勒索软件类别,在安卓上可以观察到相同的趋势。警方勒索软件通过使用另一种恫吓软件手段来增加其获得成功的机会(通过受害者付款)——他们试图通过显示来自执法机构(如FBI)的信息来吓唬受害用户,声称非法活动已在其设备上检测到。
文件加密型加密勒索软件是“安卓恶意软件类”中唯一一个失踪的孩子,直到2014年5月出现了ESET起绰号为Simplocker的软件家族。
勒索软件在安卓上不断发展,在过去三年中发现了新的家族。接下来描述最值得注意的(家族)。
安卓Defender
安卓Defender,这是2013年年中首次发现的,是一个典型的假杀毒软件的示例,可能是第一个针对安卓的实际勒索软件。
从图4可以看出,应用程序的图形用户界面试图使受害者看到他们正在面对合法的安全应用程序。有趣的是,在假扫描期间,木马显示实际存在于手机内存卡上的文件名称,它让它更可信。显示的恶意软件名称是真实的,除了那个手机实际上并没有感染他们。
图4:被称为安卓Defender的假AV与一个令人信服的GUI
图5:安卓 Defender不停地弹出窗口使受感染的设备几乎不可用
在这个阶段,用户仍然可以选择“继续不受保护”并关闭应用程序。然而,属于假AV的后台服务通过在每次用户尝试启动应用程序时显示永不停止的恶意软件警告弹出窗口,使得电话实际上不可用。点击“保持不受保护”将忽略当前显示的弹出式窗口,马上会显示另一个弹出式窗口,等等...
图6:安卓 Defender锁定屏幕显示色情图片
如果这种行为没有说服受害者相信他们真的被感染,并支付的“完整版”的骗局软件,它会在最早启动六小时后切换到更加激进的模式。安卓 Defender显示一个全屏窗口,其中包含无法关闭的赤裸裸的色情图片。
图7:安卓 Defender购买选项
如果受感染的用户放弃并决定支付,欺诈将使他或她返回至少89.99美元。更糟糕的是,用户的信用卡信息现在由恶意软件运营商(或在网络上嗅探的任何人,因为数据未加密发送)手中,而可被进一步滥用。
ESET Mobile Security将安卓Defender检测为Android/FakeAV.B。
勒索软件与假av,与...色情
第二个假冒的AV勒索软件例子不像安卓 Defender有个编造的名字,而是寄生在Avast合法的安卓安全应用程序的名称(假AV是不可能隶属于Avast Software的)。在Windows上,合法的防病毒程序的伪造副本曾经是流氓AV(注:寄生)的领域。奇怪的是,ESET检测到的Android/FakeAV.E恶意软件也滥用另一个知名品牌:它以假装是成人视频网站PornHub的移动应用程序的方式来传播。
图8 第一个伪装的Android/FakeAV.E:假的PornHub应用程序
应用程式启动时,不会显示色情影片,而是向使用者显示讯息,指出设备必须“先检查病毒”。单击确定后,假AV,看起来像Avast,运行其虚假扫描。
图9第二个伪装Android/FakeAV.E:假Avast应用程序
这种欺诈的叙述是相当奇怪的。首先,假冒Avast GUI显示的消息表明“设备处于危险中,现在由于安全原因而被阻止”,并且必须购买Pro版本。
然而合法的防病毒显然不会使设备不可用,该文本或多或少属于流氓AV行为。但是,显示为设备锁定的赎金屏幕说有义务支付100美元罚款,以避免法律后果。
图10:Android/FakeAV.E赎金屏幕
看起来好像该恶意软件的作者从不同的勒索软件程序中获取赎金消息屏幕,甚至包含相同的排版错误。
警察勒索软件
在Windows上的锁屏勒索软件过去使用了各种主题。一些早期的示例包括显示为蓝屏死机(BSOD)或Windows激活消息的锁屏。虽然我们偶尔会发现各种新的锁屏主题,但最近几年经常出现的主题是警察勒索软件。Reveton是这种类型最有名的家族之一。
警方勒索软件声称该设备已被当地执法机构锁定,因为检测到非法内容或活动。赎金信息有时引用一些刑法的文章,但说,用户只需一个费用就可以逃脱处罚。警察勒索软件经常使用基于IP的地理位置,向用户显示带着当地执法机构的横幅的“定制”的感染(信息)。
图11第一个警察勒索软件变体针对说俄语的安卓用户。
安卓上的第一批警察勒索软件样本出现在2014年上半年,针对俄语安卓用户。
不久之后,出现了位置感知变体,就像英语中的变体一样。
ESET检测上面的警察勒索软件示例为Android/Koler或Android/Locker的变体。
图12 - Android/Locker变体能够显示相机拍摄并根据用户的位置调整赎金屏幕——示例显示俄语,乌克兰语和哈萨克语的横幅
图13 Android/Koler变体改为瞄准说英语的用户
Simplocker
在2014年5月,ESET检测到安卓的第一个文件加密勒索软件——一个预期的演变,因为近年来这种恶意软件在Windows平台上极其普遍,Cryptolocker、Cryptowall、Locky和TorrentLocker只是几个许多臭名昭着的例子。
启动后,木马显示赎金消息,如图14所示,且在后台于一个单独的程序线程里加密文件。Android/Simplocker.A扫描SD卡2(威胁也影响没有物理SD卡的设备,在这样的设备上,内部存储器作为模拟的SD卡)以寻找任何以下扩展名的图像、文档或视频文件——JPEG、JPG、PNG、BMP、GIF、PDF、DOC、DOCX、TXT、AVI、MKV、3GP、MP4——并使用AES加密。所使用的加密密钥在二进制内部被硬编码为纯文本,因此对它们进行解码是微不足道的,与更成熟的Windows加密勒索软件家族不同。为此,我们为这个恶意软件起绰号为Android/Simplocker,并认为这些第一个变体只是一个概念验证,或更严重威胁的早期开发版本。
图14 来自早期俄语版本Android/Simplocker的赎金声索
图15 Simplocker使用前置摄像头反馈来恐吓受害者
赎金信息是用俄语写的,所要求的付款是用乌克兰Hryvnias(注:乌克兰货币),所以可以合理地假设这种威胁针对的是在乌克兰的安卓用户。恶意软件指示受害者使用预付款金额凭证(例如MoneXy或QIWI)进行支付,因为它们不容易追踪,不像假如使用常规信用卡支付一样。一些Simplocker的变种也显示用手机的相机拍摄的受害者的照片,以增加恫吓性。
Simplocker分发载体
Android/Simplocker通常试图欺骗用户安装它,通过伪装自己作为一个合法和流行的应用程序——安卓恶意软件的常见技术。通常情况下,此伪装围绕互联网色情(一些恶意应用程序假装是成人视频,可查看成人视频的应用程序等),流行的游戏,如侠盗猎车手:圣安地列斯,或常见的应用程序,如Flash Player。
然而,Android/Simplocker也使用不太常见的传播机制——通过木马下载程序。木马下载程序在Windows恶意软件的世界很常见,但在安卓平台上不常见。他们是小程序,其唯一的目的(也是它们恶意的唯一原因)是下载其他恶意软件。
之所以木马下载策略在安卓市场应用程序扫描(例如在官方Google Play上的Bouncer)的雷达下有更大的机会逃脱,甚至逃避掉更谨慎的安卓用户的注意,原因是:
•应用程序所做的只是在应用程序外打开一个URL——这本身并不属于恶意行为
•下载器实际上没有“可能有害”的应用程序权限——因此即使是在安装过程中审查应用程序权限的用户也可能会授予权限给这个应用。
此外,在我们分析的例子中,应用程序中包含的URL没有直接指向恶意的Simplocker APK包。相反,木马是在攻击者控制的服务器上重定向后服务的。我们还没有看到Android/Simplocker通过官方Google Play商店传播。
英语版Simplocker
在发现第一个Simplocker变种后仅一个月,我们开始检测这个勒索软件的新版本,其中有一些重要的改进。最明显的变化是语言:Android/Simplocker.I现在显示英语赎金屏幕而不是俄语。受害人被引导相信,该设备在检测到非法活动(软件盗版、儿童色情等)后被FBI阻止——典型的警察勒索软件行为。索要的赎金现在在200美元到500美元的范围内,受害者被指示使用MoneyPak凭证支付。像一些以前的Android/Simplocker变体,这一个也使用了从设备显示相机反馈的恫吓软件战术。
图16 Android/Simplocker的英文赎金消息
最新的变体略微改变了赎金请求的视觉效果。不是FBI,而是NSA指责受害者“访问了被禁止的色情网站”(原文如此),并要求500美元的付款。
图17 - 最新的Android/Simplocker NSA赎金消息
除了加密设备的SD卡上的文档、图像和视频,该木马现在还加密存档文件:ZIP、7z和RAR。这种“升级”会带来非常不愉快的后果。许多安卓文件备份解决方案将备份存储为存档文件。如果用户感染了Android/Simplocker.I,这些备份也将被加密。
更高级的Simplocker版本也要求安装为设备管理员,这使得它们更难被删除,因为用户必须首先撤销应用程序的设备管理员权限,然后再卸载它们。当勒索软件锁定了你的屏幕时,这是很难做到的。
另一个值得注意的变化是恶意软件开始使用XMPP(可扩展消息和呈现协议)协议(Jabber)与其C&C服务器通信。使用XMPP使得跟踪C&C服务器比使用HTTP更加困难。 Android/Simplocker使用此即时消息通信协议将有关受感染设备的信息发送到服务器并执行收到的命令。某些Android/Simplocker变体使用的第三种C&C服务器寻址是使用Tor.onion域。
Simplocker进化中最重要的一步是恶意软件用来加密受害者文件的加密密钥。在初始版本的几个月后,我们发现使用从C&C服务器生成和发送的唯一密钥的Simplocker变体。这标志着木马的概念验证阶段的结束,并且不再能够容易地解密被劫持的文件。
Lockerpin
在以前的安卓锁屏木马中,屏幕锁定功能通常是通过在无限循环中不断将赎金窗口带到前台来实现的。虽然实施了各种自卫机制以保持设备用户锁定,不难通过使用安卓调试桥(ADB)或停用设备管理员权限并在安全模式下卸载恶意应用程序,来摆脱恶意软件,从而解锁设备。
不幸的是,随着我们在2015年8月发现的Android/Lockerpin,恶意软件作者已经加强了他们的游戏。如果用户感染了此安卓赎金锁,则删除PIN锁定屏幕的唯一方法是,设备之前是否已被root或安装了能够重置PIN的MDM解决方案。否则,最后一个选项是恢复出厂设置,即删除设备上的所有数据。
Lockerpin用于锁定设备的技术非常简单——它利用了内置的安卓 PIN屏幕锁定机制。它能够在设备上设置PIN,或者甚至在已经设置的情况下改变它。它能够这样做,前提是受害者已授予恶意应用设备管理员权限。
图18 - Android/Lockerpin地理分布
根据ESET的LiveGrid®统计,大多数受感染的安卓设备在美国,占72%的百分比。这是一种趋势的一部分,安卓恶意软件作者正在从主要是俄罗斯和乌克兰用户转移到针对美国的受害者,在那里他们可以赚取更大的利润。
恶意软件一直伪装成用于观看成人视频的应用程序进行散布。
早期版本的Android/Locker家族以与所有其它安卓木马程序相同的方式获取设备管理员状态,这些木马使用它们主要用于防止卸载——它们依赖于用户自愿激活提升的权限。
然而,在最新版本中,木马通过更隐蔽的点击提升(tap-jacking,注:应是指本段剩余部分所述方法)技术获得设备管理员权限。系统设备管理激活窗口覆盖了木马的恶意窗口,假装是一个“更新补丁安装”。该技术的要点是假的继续按钮完全放置在底层的激活按钮上。因此,当受害者点击这个无害的安装,他们无意中授予恶意软件设备管理员权限。
图19 - Android/Lockerpin隐蔽地通过tap-jacking获得设备管理员权限
安装后,典型的警察勒索软件场景继而产生。用户被显示一个来自联邦调查局的虚假信息,要求500美元赎金,因涉嫌查看和窝藏禁止色情材料。
图20 - Android/Lockerpin赎金信息
在显示赎金消息后的指定时间延迟后,PIN将被设置(或更改)为随机生成的四位数字,而不会发送给攻击者。Lockerpin的某些变体具有通过将PIN锁定重置为零值来移除PIN锁定的功能。
图21 - 被Android/Lockerpin锁定的设备
Lockerpin的进攻性自卫
Android/Lockerpin不仅以新颖和秘密的方式获取了设备管理员的权限,它也使用进攻性的自卫机制,以确保它保持它们(注:管理员权限)。当用户尝试停用恶意软件的设备管理员时,它们将会失败,因为木马已经注册了回调函数,以在尝试删除后立即重新激活权限。
类似于设备管理员首次被特洛伊木马激活,如果进行删除尝试,设备管理员窗口再次覆盖一个假窗口,如图22所示。按“继续”有效地重新激活提升的权限。
图22 Android/Lockerpin阻止尝试撤销设备管理员权限
作为额外的自我保护层,当用户尝试停用其设备管理员权限时,勒索软件还会尝试终止运行的AV进程。该木马试图保护自己免受三个移动防病毒应用程序:ESET Mobile Security和Avast与Dr.Web的安卓解决方案。
图23 - Android/Lockerpin试图杀死运行的AV进程
恶意软件将无法成功杀死或删除ESET Mobile Security。Lockerpin试图杀死com.android.settings过程,以防止通过安卓的内置应用程序管理器进行恶意软件标准卸载。
Jisut
这种由ESET安全解决方案检测到的这个奇怪的勒索软件系列(Android / LockScreen.Jisut)在2016年的活动中出现了显着的增长——检测的数量比2015年翻了一番。
大多数看到的变体尝试锁定用户设备,但奇怪地没有要求赎金。他们唯一可见的活动是改变壁纸或在背景中播放的声音,让我们更加相信其主要是作为一个恶作剧,而不仅仅是为了获得经济利益的假设。
然而,ESET也记录了要求受害者支付赎金的变体。为了使过程更简单和更直接,攻击者添加QR码,允许受感染的用户向攻击者写入消息或直接进行付款。一些示例甚至尝试销售应用程序或其源代码。
在2017年初看到的Jisut勒索软件变种之一也有一个特殊的能力,以前没有报道过。它使用语音消息要求赎金,使其成为在野外检测到的第一个“会说话的安卓勒索软件”。感染设备后,一个女声说中文“祝贺”受害者,并要求40元(约6美元)以解锁。
图24 - Android/Jisut请求管理员权限,收获QQ凭据和在锁定屏幕的上面通过语音消息要赎金。
这个变种在中国最普遍,可能出新手中国少年网络犯罪分子之手。
大多数勒索软件——锁屏和加密勒索软件——要求通过预付现金凭证或比特币支付,正是因为这些支付方法几乎不可追踪。然而,Jisut背后的帮派采取了一种完全不同的方法,似乎不在乎它的匿名性。勒索软件屏幕包括在中国社交网络QQ上的联系信息,并敦促受害者与作者联系,以获得他们的文件。如果QQ个人资料中的信息有效,则恶意软件运营商是17至22岁的中国青少年。
Android/LockScreen.Jisut的第一个变体开始出现在2014年上半年。从那时起,我们已经检测到数百个变体,所有的行为有所不同,或显示不同的赎金消息,但所有都基于相同的代码模板。
整个Jisut恶意软件家族不同于任何其他已知的LockScreen勒索软件。一种类型的Jisut行为是创建一个覆盖所有其他活动的全屏Activity(安卓开发人员描述“window”时的术语)。全屏幕叠加层只是一个黑色背景,所以设备显示为锁定或关机了。如果用户打开菜单以关闭或重新启动设备,将显示恶作剧消息。一些示例具有前一个活动变体的特征:他们播放来自Alfred Hitchcock的Psycho的著名淋浴场景音乐,同时在无限循环中振动设备。
图25 - Jisut恶作剧的消息:左:“关,你死了!”右:“我希望过得愉快!生产者申申”
另一个Jisut变体要求用户点击一个按钮,“我是一个白痴”1000次。计数器达到1000后没有任何反应;它会重置为零,而沮丧的用户可以继续无限期地点击。
图26 - Android/LockScreen.Jisut:“请点击下面的按钮1000次”
除了描述的愚蠢行为,大多数Android/LockScreen.Jisut变体还包含有害的功能。像Android/Lockerpin,他们可以设置或更改设备锁定屏幕PIN或密码。
一些变体不依赖于合法的内置安卓锁屏功能,但显示自己的全屏窗口模仿锁定屏幕,如同警察勒索软件Android/Locker和Android/Koler家族做的。
图27 - Android/LockScreen.Jisut已通过PIN或密码锁定设备
图28 - 更加生动的自定义锁定屏幕与恶意软件作者的QQ号码
除了勒索软件方面,一些变体可以通过向所有用户联系人发送指向恶意软件的URL链接的短信消息来传播。
Charger
在2017年年初,在Google Play商店中发现了一个具有锁定用户设备功能的远程控制后门木马。假装一个名为EnergyRescue的“节能”应用程序,其实是被称为Charger的恶意软件,试图窃取用户数据以及在多个方面控制设备。
ESET对恶意软件的分析表明,它可以收获联系人和已安装应用程序的列表;然而,尽管拥有这个功能,似乎充电器从来没有发送数据给攻击者。
基于攻击者的命令,它也能够锁定或解锁受感染的设备,并要求0.2个BitCoin赎金。这意味着,Charger已经加入排他俱乐部,作为第一个通过Google Play安全检查的锁屏勒索软件之一。
根据收到的命令,它还可以从受感染设备中提取和发送所有文本消息,包括收件箱、发送和草稿文件夹中的文本消息,发送受害者的照片,更新自己以及激活管理员权限。攻击者使用HTTP协议成功实现这些功能,以控制受感染的设备。
如何使您的安卓受到保护
对于安卓设备的用户,了解勒索软件威胁并采取预防措施非常重要。其中最重要的主动措施是避免非官方的应用程序商店,并安装和保持更新移动安全应用程序。此外,重要的是对来自设备的所有重要数据进行功能备份。
有可能的是,对勒索软件采取适当措施的用户将永远不会面临任何赎金请求。即使他们成为受害者并且最坏的情况是看到他们的数据加密,在有备份的情况会使这样的经历不算什么。
如果用户确实成功被勒索软件感染,他们有几个移出选项,取决于具体的恶意软件变体。对于大多数简单的锁屏勒索软件家族,将设备引导到安全模式——因而第三方应用程序(包括恶意软件)将无法加载——将发挥功效,用户可以轻松卸载恶意应用程序。启动进入安全模式的步骤因不同的设备型号而异。(请参阅您的手册,或询问Google搜索引擎。)如果应用程序已被授予设备管理员权限,则必须先从设置菜单中撤消这些权限,然后才能卸载应用程序。
如果具有设备管理员权限的勒索软件使用安卓的内置PIN或密码屏幕锁定功能锁定了设备,情况会变得更加复杂。应该可以使用Google的安卓设备管理器或备用MDM解决方案重置锁定。root过的安卓手机有更多的选择。恢复出厂设置将删除设备上的所有数据,如果没有可用的MDM解决方案,可以作为最后手段。
如果设备上的文件已被加密勒索软件(如Android/Simplocker)加密,我们建议用户联系他们的安全提供商的技术支持。根据特定的勒索软件变体,解密文件也许可能,也许不可能。
我们还建议受影响的用户不要支付所要求的赎金,原因有几个。虽然一些成熟的Windows cryptoromware帮派已经达到专业水平,用户通常会真的得到文件解密,但并不总是这样。
文件加密型加密勒索软件在恶意软件写入程序中非常受欢迎,并且有许多不同的Windows文件编码器家族(ESET检测给出的类别名)。他们中的许多人已经加入了勒索软件行列,希望复制Cryptolocker等的成功,但我们对所有这些家庭的技术分析表明它们许多做得并不好。对于用户来说,这意味着两件事情:首先,即使他们付费,他们的文件可能也不会被解密。其次,在不付费的情况下也可能解密他们们的文件。就安卓上的勒索软件而言,我们已经看到了几个变种,其中用于解密文件或卸载锁定屏幕的代码完全丢失,所以支付不会解决任何东西。
在单个用户或企业成为加密勒索软件的受害者,并面临数据丢失情况下,它归结为一个信任的问题。网络犯罪分子是否可以信任在赎金支付后信守讨价还价结果并解密文件?显然,没有保证。即使文件被解密,没有什么能阻止攻击者(同一个或其他人)再次回来要更多。以更广泛的角度看待整个勒索软件经济——FBI的估计在2016年高达10亿美元——表明,屈服于攻击者的要求只会助燃问题。
如上所述,通过遵守基本安全原则,在安卓上使用更新的安全软件,以及备份你的数据(不仅仅是设备本身)是一个更明智的选择。 所有这些预防措施都是随时可用和易于使用的,真的没有理由不这样做。
原文见附件。
本文由 看雪翻译小组 hanbingxzy 编译
原文作者:
Robert Lipovský – 高级恶意软件研究员
Lukáš Štefanko – 检测工程师
Gabriel Braniša – 恶意软件研究员
一些相关的看雪文章:
http://bbs.pediy.com/thread-209462.htm 安卓勒索软件研究报告
http://bbs.pediy.com/thread-208706.htm 安卓勒索软件现新变种 其可在移动设备中直接创建
http://bbs.pediy.com/thread-205489.htm 转载】面对勒索软件,FBI也认怂了
http://bbs.pediy.com/thread-201793.htm 报告称2015第一季度勒索软件暴增165%
http://bbs.pediy.com/thread-193780.htm 用短信传播病毒:最新安卓手机勒索软件Koler
http://bbs.pediy.com/thread-190417.htm 第一个将攻击服务器隐藏在Tor网络中的勒索软件
http://bbs.pediy.com/thread-187476.htm 安卓勒索软件用色情勒索用户
http://bbs.pediy.com/thread-179150.htm 国外发现勒索软件借助NSA棱镜事件行骗
http://bbs.pediy.com/thread-35360.htm 【求助】遭到勒索软件的敲诈,请大哥大姐们看看
译者注:
恶意软件不安装运行是不会有作用的。于是恶意软件利用用户的粗心,利诱用户安装和运行自己。
恶意软件被设计成可达成特定目标,而其中的勒索软件的目标是以威胁的方式控制用户的行为,比如交赎金。这让我想起了好久前看过的一部电影,是计算机通过威胁来控制人类执行任务,以达到毁灭世界,重新开始的目的。后来查了一下发现记忆中的情节来自于2008年的电影《鹰眼》,不过这电影中计算机的目的是为了刺杀美国总统。
|
|
|---|---|
|
|
|
|
|
精华鼓励一下
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
流氓越来越有文化了。
 |
哆啦咪
