目录

概要

安卓上的勒索软件

常见的感染载体

恶意软件c＆c通信

恶意软件自我保护

安卓勒索软件大事记

安卓防守者

勒索软件与假av，与...色情

警察勒索软件

Simplocker

Simplocker分发载体

英语版Simplocker

Lockerpin

Lockerpin的进攻性自卫

Jisut

Charger

如何使您的安卓受到保护

        安卓勒索软件界在2016出现了一些有趣的发展。勒索软件目前是所有平台中最紧迫的网络安全问题之一，包括这个（注：安卓）最流行的移动平台。

        锁屏类型和文件加密“加密勒索软件”的作者已经在过去12个月从桌面恶意软件学到了有效的技术，并开发出了自己的精密方法，以专门针对运行安卓设备的目标。

        除了锁屏“警察勒索软件”使用的最普遍的恐吓策略，网络犯罪分子越加努力地通过加密和埋藏恶意的有效载荷到被感染的应用软件深处的方式保持低调。

        在2015年，ESET（Enjoy Safer Technology）观察到，安卓勒索软件运营商的重点从东欧移动到美国移动用户。然而，去年也反应出攻击者对亚洲市场越来越感兴趣，开始使用本地化的中文赎金消息的Jisut锁定屏幕可以证明这一点。这种增加的活动出于这个现在臭名昭着的恶意软件家族的日益普遍，在过去12个月翻了一番。

        在本文的第一部分，我们给出勒索软件的定义，看看ESET的遥感检测，以查看这种网络威胁的当前趋势，并分析适用于安卓上的勒索软件的恶意软件细节。主要部分详细介绍了自2014年以来最值得注意的安卓勒索软件示例。最后一章向安卓用户提供建议。

        勒索软件，顾名思义，是这样一类恶意软件：要求感染用户给出一笔钱，交换条件是承诺“释放”劫持的资源。贴上“勒索软件”标签的恶意软件分为两大类：

        *锁屏勒索软件

        *加密勒索软件

        在锁屏类型的勒索软件中，被劫持的资源是访问被攻陷了的系统的权限。在文件加密“加密勒索软件”中，劫持资源是用户的文件。

        这两种类型在Windows平台上一直是一个非常普遍的问题，自2013年以来，勒索软件开始越来越受到网络犯罪分子的欢迎，即使它已经存在了很多年。勒索软件感染已经对个人和企业造成麻烦。

        由于安卓恶意软件方面最引人注目的趋势之一是恶意软件编写者已经向这个平台带来了在Windows上被证明是成功的恶意软件技术，因此预期在最流行的移动平台上出现勒索软件，并且已经观察到几年了。

        根据ESET LiveGrid®，安卓勒索软件检测的数量与往年相比增长了50％以上，2016年上半年出现最大峰值。

        图1：安卓勒索软件检测趋势，来自ESET LiveGrid®

        随着越来越多的消费者从PC切换到移动，越来越多的有价值的数据存储在我们都携带的设备上，使得安卓勒索软件对攻击者来说越加有价值。

        在2016年，ESET专家记录了一种新兴趋势，安卓勒索软件通过电子邮件传播。攻击者一直使用社会工程来操纵受害者点击电子邮件中的恶意链接，并将他们重定向到受感染的安卓应用程序包（APK）(注：从而下载这个恶意应用软件)。

        然而，安卓恶意软件——勒索软件以及大多数其他类型——通常满足木马的定义：它通过伪装成合法应用程序传播。 通常选择热门应用程序（例如热门游戏或色情相关应用程序），以增加受害者下载恶意软件的可能性。

        在某些情况下，恶意APK只承载合法应用程序的名称和图标，而在其他情况下，恶意软件作者会使用现有应用程序并添加恶意代码，保留原始功能。对于本质上不依赖于像勒索软件（例如，后门或SMS木马）一样的视觉表现的恶意软件，这增加了恶意行为将被忽视的机会。当然，由于这样的修改将破坏（应用软件）包的数字签名，因此必须在与原始账户不同的开发者账户下重新签名和提交。

        除了一个例外，本文中描述的勒索软件示例都没有在官方Google Play商店上找到。然而，有许多恶意软件成功绕过Google不断改进的安全措施的情况。ESET的研究人员发现并向Google报告了数百个安卓恶意软件样本，包括假的应用程序和假冒的AV恫吓软件，凭证钓鱼间谍软件，用于点击欺诈、后门、广告显示的PUA（潜在不需要的应用程序）和其他PUA等的木马。

        恶意软件编写者也开始使用更复杂的方法来传播他们感染的应用程序。为了避免不必要的注意，攻击者已经开始加密恶意有效载荷，将它们埋在应用程序中更深入——通常将它们移动到资产文件夹，通常用于图片或其他必要的内容。受感染的应用程序通常看上去似乎没有附加功能，但实际却是能够解密和运行隐藏的勒索软件有效载荷的解密器。但是，使用技术上更先进的技术，如漏洞驱使的网站挂马攻击（原文：exploit-driven drive-by downloads），在安卓上不是很常见。

        成功安装后，大多数安卓恶意软件“向家里报告”，即连接命令和控制（C＆C）服务器。

        在某些情况下，报告仅用于跟踪感染，发送回基本设备信息，如设备型号、IMEI号码、设备语言等。或者，如果建立了永久C＆C通信信道，则该木马可以侦听并执行由恶意软件操作者发送的命令。这会在受攻击者控制下创建受感染安卓设备的僵尸网络。

        安卓勒索软件支持的命令的一些示例，除了其锁定设备和显示赎金消息的主要范围之外，包括：

        •擦除设备

        •重置锁屏PIN（个人标识号码）

        •在手机的浏览器中打开任意URL

        •向任何或所有联系人发送短信

        •锁定或解锁设备

        •窃取接收的短信

        •窃取联系人

        •显示不同的赎金消息

        •更新到新版本

        •启用或禁用流量

        •启用或禁用Wi-Fi

        •跟踪用户的GPS位置

        通常使用的通信协议是HTTP。但在少数情况下，我们还发现恶意软件通过Google云消息传递与C＆C进行通信。此服务使开发人员能够在安卓设备上安装的应用程序之间发送和接收数据。安卓恶意软件也使用的类似协议是百度云推送。我们分析的一些恶意软件示例使用了Tor.onion域或XMPP（Jabber）协议。或者，安卓木马可以接收命令，以及使用内置的短信功能发送数据。

        用安卓恶意软件感染受害者的设备对攻击者来说不是一件轻而易举的事情。即使对于没有反恶意软件解决方案（如ESET Mobile Security）的用户，也有Google自己的防御措施。当然，一旦他们成功克服了这些障碍，他们想要确保他们的恶意代码尽可能长地留在设备上。

        Android/Lockerpin被观察到几种自我保护技术，包括试图杀死属于反恶意软件应用程序的进程。

        我们在越来越多的安卓恶意软件中开始看到的最通用的技术之一是获得设备管理员权限。请注意，设备管理员权限与root访问权限不同，如果恶意软件获取该权限会更加危险。

        图2：请求设备管理员权限的安卓恶意软件示例

        为了获得它们，恶意软件使用点击提升（click jacking or tap jacking）技术，其创建两个覆盖层——向用户显示假的上层和激活设备管理员权限的下层。通过点击前台Activity（注：安卓UI组件，指假的上层），受害者不知不觉地点击在后台的那一个（注：下层）而扩大恶意代码的权限。

        合法的设备管理员应用程序针对各种（主要是安全相关）原因使用这些扩展权限。然而，恶意软件使用此安卓功能保护自身防止卸载。在卸载此类应用程序之前，必须首先撤销其设备管理员权限。某些恶意软件（如Android/Lockerpin）还会使用仅适用于设备管理员应用程序的额外权限来设置或更改锁定屏幕PIN。

        在安卓上第一次出现勒索软件的案例中，勒索功能被添加到假冒（流氓）反病毒（注：软件中）。

        假冒AV（注：应是指antiviruse反病毒）是一种恶意软件类型，已经存在了很长时间——安卓上从2012开始，而桌面平台至少从2004年起。顾名思义，他们显示出一个假的设备文件的防病毒扫描，然后尝试诱骗用户付钱，以消除文件被认为感染的威胁。它们也被称为“scareware”（注：译为恫吓软件），因为他们在恫吓以使他们相信他们的设备受到感染后向受害人勒索付款。

        恶意AV通常不被认为是勒索软件——虽然他们也试图从受害者那里获取钱，他们通常依赖说服而不是勒索，被骗用户通常认为他们在向合法产品付钱。然而，一些假AV作者决定通过添加锁屏勒索软件行为使他们的软件更加激进。

        在Windows上的大多数锁屏勒索软件属于所谓的警察勒索软件类别，在安卓上可以观察到相同的趋势。警方勒索软件通过使用另一种恫吓软件手段来增加其获得成功的机会（通过受害者付款）——他们试图通过显示来自执法机构（如FBI）的信息来吓唬受害用户，声称非法活动已在其设备上检测到。

        文件加密型加密勒索软件是“安卓恶意软件类”中唯一一个失踪的孩子，直到2014年5月出现了ESET起绰号为Simplocker的软件家族。

        勒索软件在安卓上不断发展，在过去三年中发现了新的家族。接下来描述最值得注意的（家族）。

        安卓Defender，这是2013年年中首次发现的，是一个典型的假杀毒软件的示例，可能是第一个针对安卓的实际勒索软件。

        从图4可以看出，应用程序的图形用户界面试图使受害者看到他们正在面对合法的安全应用程序。有趣的是，在假扫描期间，木马显示实际存在于手机内存卡上的文件名称，它让它更可信。显示的恶意软件名称是真实的，除了那个手机实际上并没有感染他们。

 图4：被称为安卓Defender的假AV与一个令人信服的GUI

        图5：安卓 Defender不停地弹出窗口使受感染的设备几乎不可用

        在这个阶段，用户仍然可以选择“继续不受保护”并关闭应用程序。然而，属于假AV的后台服务通过在每次用户尝试启动应用程序时显示永不停止的恶意软件警告弹出窗口，使得电话实际上不可用。点击“保持不受保护”将忽略当前显示的弹出式窗口，马上会显示另一个弹出式窗口，等等...

        图6：安卓 Defender锁定屏幕显示色情图片

        如果这种行为没有说服受害者相信他们真的被感染，并支付的“完整版”的骗局软件，它会在最早启动六小时后切换到更加激进的模式。安卓 Defender显示一个全屏窗口，其中包含无法关闭的赤裸裸的色情图片。

        图7：安卓 Defender购买选项

        如果受感染的用户放弃并决定支付，欺诈将使他或她返回至少89.99美元。更糟糕的是，用户的信用卡信息现在由恶意软件运营商（或在网络上嗅探的任何人，因为数据未加密发送）手中，而可被进一步滥用。

        ESET Mobile Security将安卓Defender检测为Android/FakeAV.B。

        第二个假冒的AV勒索软件例子不像安卓 Defender有个编造的名字，而是寄生在Avast合法的安卓安全应用程序的名称（假AV是不可能隶属于Avast Software的）。在Windows上，合法的防病毒程序的伪造副本曾经是流氓AV（注：寄生）的领域。奇怪的是，ESET检测到的Android/FakeAV.E恶意软件也滥用另一个知名品牌：它以假装是成人视频网站PornHub的移动应用程序的方式来传播。

        图8 第一个伪装的Android/FakeAV.E：假的PornHub应用程序

        应用程式启动时，不会显示色情影片，而是向使用者显示讯息，指出设备必须“先检查病毒”。单击确定后，假AV，看起来像Avast，运行其虚假扫描。 图9第二个伪装Android/FakeAV.E：假Avast应用程序

        这种欺诈的叙述是相当奇怪的。首先，假冒Avast GUI显示的消息表明“设备处于危险中，现在由于安全原因而被阻止”，并且必须购买Pro版本。

        然而合法的防病毒显然不会使设备不可用，该文本或多或少属于流氓AV行为。但是，显示为设备锁定的赎金屏幕说有义务支付100美元罚款，以避免法律后果。

        图10：Android/FakeAV.E赎金屏幕

        看起来好像该恶意软件的作者从不同的勒索软件程序中获取赎金消息屏幕，甚至包含相同的排版错误。

        在Windows上的锁屏勒索软件过去使用了各种主题。一些早期的示例包括显示为蓝屏死机（BSOD）或Windows激活消息的锁屏。虽然我们偶尔会发现各种新的锁屏主题，但最近几年经常出现的主题是警察勒索软件。Reveton是这种类型最有名的家族之一。

        警方勒索软件声称该设备已被当地执法机构锁定，因为检测到非法内容或活动。赎金信息有时引用一些刑法的文章，但说，用户只需一个费用就可以逃脱处罚。警察勒索软件经常使用基于IP的地理位置，向用户显示带着当地执法机构的横幅的“定制”的感染（信息）。

        图11第一个警察勒索软件变体针对说俄语的安卓用户。

        安卓上的第一批警察勒索软件样本出现在2014年上半年，针对俄语安卓用户。

        不久之后，出现了位置感知变体，就像英语中的变体一样。

        ESET检测上面的警察勒索软件示例为Android/Koler或Android/Locker的变体。

         图12 - Android/Locker变体能够显示相机拍摄并根据用户的位置调整赎金屏幕——示例显示俄语，乌克兰语和哈萨克语的横幅 

        图13 Android/Koler变体改为瞄准说英语的用户

        在2014年5月，ESET检测到安卓的第一个文件加密勒索软件——一个预期的演变，因为近年来这种恶意软件在Windows平台上极其普遍，Cryptolocker、Cryptowall、Locky和TorrentLocker只是几个许多臭名昭着的例子。

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)