最近ESET研究人員發(fā)現(xiàn)了一個(gè)新的Android勒索軟件家族，它們?cè)噲D通過(guò)向受害者的手機(jī)的聯(lián)系人列表發(fā)送惡意短信繼續(xù)傳播。

在Android勒索軟件遭遇兩年的衰退之后，一個(gè)新的Android勒索軟件家族又出現(xiàn)了。目前，該家族已經(jīng)被ESET Mobile Security檢測(cè)到，并被定義為Android / Filecoder.C。目前該勒索軟件正在通過(guò)各種在線論壇進(jìn)行傳播。借助受害者的聯(lián)系人列表，然后將帶有惡意鏈接的短信進(jìn)一步傳播。由于目標(biāo)范圍狹窄，并且在執(zhí)行過(guò)程中存在缺陷，這種新的勒索軟件的攻擊力還是有限的。但是，如果幕后的開(kāi)發(fā)者開(kāi)始定位更廣泛的用戶群，Android / Filecoder.C勒索軟件可能會(huì)成為一個(gè)嚴(yán)重的威脅。PHP大馬

通過(guò)長(zhǎng)期以來(lái)的跟蹤，Android/Filecoder.C自2019年7月12日起一直處于活躍狀態(tài)。在我們發(fā)現(xiàn)的活動(dòng)中，Android / Filecoder.C已經(jīng)通過(guò)Reddit上的惡意帖子和“XDA Developers”論壇（Android開(kāi)發(fā)者論壇）進(jìn)行了大量傳播。不過(guò)很快，我們就向XDA Developers和Reddit報(bào)告了此惡意活動(dòng)。截止發(fā)稿，XDA DEVELOPERS論壇上的帖子被迅速刪除，不過(guò)目前惡意Reddit配置文件在發(fā)布時(shí)仍處于運(yùn)行狀態(tài)。

Android/Filecoder.C通過(guò)帶有惡意鏈接的短信進(jìn)一步傳播，這些鏈接被發(fā)送給受害者聯(lián)系人列表中的所有聯(lián)系人。

在勒索軟件發(fā)出這些惡意短信之后，它會(huì)加密設(shè)備上的大多數(shù)用戶文件，并要求受害者支付贖金。

使用ESET Mobile Security的用戶會(huì)收到有關(guān)惡意鏈接的警告，如果用戶執(zhí)意忽略警告并繼續(xù)下載應(yīng)用程序，安全解決方案將強(qiáng)行阻止惡意軟件的運(yùn)行。

惡意攻擊的統(tǒng)計(jì)

我們發(fā)現(xiàn)的廣告系列基于兩個(gè)域（請(qǐng)參閱下面的IoC部分），由攻擊者控制，其中包含用于下載的惡意Android文件。攻擊者通過(guò)發(fā)布或評(píng)論Reddit（圖1）或XDA DEVELOPERS（圖2）來(lái)吸引潛在受害者點(diǎn)擊這些域。

大多數(shù)情況下，帖子的主題與色情有關(guān)。除此之外，我們也看到了用技術(shù)主題作誘餌的帖子。在所有評(píng)論或帖子中，都包含指向惡意應(yīng)用程序的鏈接或QR代碼。

攻擊者的Reddit配置文件，包含惡意帖子和評(píng)論

攻擊者在XDA DEVELOPERS論壇上發(fā)布的一些惡意帖子

在Reddit上共享的一個(gè)鏈接中，攻擊者使用了短網(wǎng)址bit.ly。經(jīng)調(diào)查這個(gè)bit.ly URL是在2019年6月11日創(chuàng)建的，其統(tǒng)計(jì)數(shù)據(jù)如下圖所示，截至撰寫(xiě)本文時(shí)，來(lái)自不同來(lái)源和國(guó)家的點(diǎn)擊量已達(dá)到59次。

勒索軟件活動(dòng)期間在Reddit上共享的bit.ly鏈接的統(tǒng)計(jì)信息

傳播過(guò)程

如前所述，Android/Filecoder.C勒索軟件通過(guò)短信將鏈接傳播到受害者聯(lián)系人列表中的所有目錄。

這些消息包括勒索軟件的鏈接，為了增加潛在受害者的點(diǎn)擊概率，這個(gè)鏈接被顯示為一個(gè)應(yīng)用程序的鏈接，且該應(yīng)用程序可能使用潛在受害者的照片，如下圖所示。天天好彩

為了擴(kuò)展其攻擊范圍，勒索軟件有42種語(yǔ)言版本的消息模板，如圖5所示。在發(fā)送消息之前，它選擇適合受害者設(shè)備的語(yǔ)言設(shè)置的版本。為了個(gè)性化這些消息，惡意軟件會(huì)將聯(lián)系人的姓名添加到這些消息之前，以顯得真實(shí)，增加迷惑性。

帶有勒索軟件鏈接的短信，如果發(fā)送設(shè)備將語(yǔ)言設(shè)置為英語(yǔ)，則發(fā)送此切換到英文

勒索軟件中硬編碼了42種語(yǔ)言版本

惡意功能

一旦潛在受害者收到帶有惡意應(yīng)用程序鏈接的短信，他們需要手動(dòng)安裝它。應(yīng)用程序啟動(dòng)后，它將顯示傳播它的帖子中承諾的內(nèi)容。通常，它是一個(gè)在線性愛(ài)模擬游戲。然而，其主要目的是C＆C通信，傳播惡意消息和實(shí)施加密或解密機(jī)制。

對(duì)于C＆C通信，惡意軟件的源代碼中包含硬編碼的C＆C和比特幣地址。但是，它也可以動(dòng)態(tài)檢索它們：攻擊者可以使用免費(fèi)的Pastebin服務(wù)隨時(shí)更改它們。

Pastebin是一個(gè)便簽類站點(diǎn)，用戶可以在該平臺(tái)任意儲(chǔ)存純文本，例如代碼，文字等內(nèi)容。Pastebin支持的編程語(yǔ)言種類也非常齊全，還會(huì)自動(dòng)判斷語(yǔ)言類型并高亮顯示代碼內(nèi)容。除了直接在網(wǎng)頁(yè)內(nèi)操作外，Pastebin 最大的特色是提供了許多相關(guān)工具和應(yīng)用，包括 Windows、Mac、UNIX、Firefox、Chrome、Opera、iPhone/iPad、Android、WinPhone 以及 WebOS 等等，讓使用者隨時(shí)隨地都能夠存取使用。但從安全分析和威脅情報(bào)的角度來(lái)看，Pastebin卻是一個(gè)信息收集的寶庫(kù)。特別是那些上傳到pastebin卻未明確設(shè)置為private（需要一個(gè)賬戶）的內(nèi)容，將會(huì)被所有人公開(kāi)查閱。

勒索軟件檢索C＆C地址的一組地址的示例

由于可以訪問(wèn)用戶的聯(lián)系人列表，勒索軟件具有發(fā)送文本消息的能力。在加密文件之前，它使用上面描述的傳播技術(shù)向每個(gè)受害者的聯(lián)系人發(fā)送一條消息。

接下來(lái)，勒索軟件會(huì)遍歷可訪問(wèn)存儲(chǔ)上的文件(即除了系統(tǒng)文件所在位置外的所有設(shè)備存儲(chǔ)部分) ，并對(duì)其中大部分進(jìn)行加密(具體解釋，請(qǐng)參閱下面的“文件加密機(jī)制”一節(jié))。文件加密后，勒索軟件會(huì)顯示其勒索信息（英文），如下圖示。

Android/Filecoder.C顯示的勒索信息

不過(guò)，正如贖金說(shuō)明中所述，如果受害者刪除了這個(gè)應(yīng)用程序，則勒索軟件將無(wú)法解密文件。此外，根據(jù)我們的分析，勒索軟件的代碼中沒(méi)有任何內(nèi)容支持聲稱受影響的數(shù)據(jù)將在72小時(shí)后丟失。

如下圖所示，請(qǐng)求的贖金部分是動(dòng)態(tài)變化的。將要請(qǐng)求的比特幣數(shù)量的第一部分是硬編碼的，值為0.01，而剩余的六位數(shù)是惡意軟件生成的用戶ID。

這種獨(dú)特的做法可能有助于識(shí)別收到的贖金金額，因?yàn)樵贏ndroid勒索軟件中，這通常是通過(guò)為每個(gè)加密設(shè)備生成一個(gè)單獨(dú)的比特幣錢(qián)包來(lái)實(shí)現(xiàn)的。根據(jù)最近每比特幣的價(jià)格，贖金將落在94-188美元之間（假設(shè)唯一ID是隨機(jī)生成的）。

惡意軟件如何計(jì)算贖金

與典型的Android勒索軟件不同，Android / Filecoder.C不會(huì)通過(guò)鎖定屏幕來(lái)阻止設(shè)備的使用。

如下圖所示，在撰寫(xiě)本文時(shí)，所提到的比特幣地址可以動(dòng)態(tài)改變，但在我們看到的所有樣本中，地址都是不變的，沒(méi)有記錄任何交易。

攻擊者使用的比特幣地址

文件加密機(jī)制

勒索軟件使用的是非對(duì)稱和對(duì)稱加密，首先，它會(huì)生成一個(gè)公鑰和私鑰對(duì)。此私鑰使用RSA算法加密，其中硬編碼的公鑰存儲(chǔ)在代碼中并發(fā)送到攻擊者的服務(wù)器。攻擊者可以解密該私鑰，并在受害者支付贖金后，將該私鑰發(fā)送給受害者以解密他們被加密的文件。

加密文件時(shí)，勒索軟件會(huì)為每個(gè)要加密的文件生成一個(gè)新的AES密鑰。然后使用公鑰對(duì)此AES密鑰進(jìn)行加密，并將其添加到每個(gè)加密文件中，從而生成以下模式： ( (AES)public_key + (File)AES ).seven。

文件結(jié)構(gòu)如下圖所示：

加密文件結(jié)構(gòu)概述

勒索軟件通過(guò)訪問(wèn)可訪問(wèn)的存儲(chǔ)目錄來(lái)加密以下文件類型：

“.doc”,?“.docx”,?“.xls”,?“.xlsx”,?“.ppt”,?“.pptx”,?“.pst”,?“.ost”,?“.msg”,?“.eml”,?“.vsd”,?“.vsdx”,?“.txt”,?“.csv”,?“.rtf”,?“.123”,?“.wks”,?“.wk1”,?“.pdf”,?“.dwg”,?“.onetoc2”,?“.snt”,?“.jpeg”,?“.jpg”,?“.docb”,?“.docm”,?“.dot”,?“.dotm”,?“.dotx”,?“.xlsm”,?“.xlsb”,?“.xlw”,?“.xlt”,?“.xlm”,?“.xlc”,?“.xltx”,?“.xltm”,?“.pptm”,?“.pot”,?“.pps”,?“.ppsm”,?“.ppsx”,?“.ppam”,?“.potx”,?“.potm”,?“.edb”,?“.hwp”,?“.602”,?“.sxi”,?“.sti”,?“.sldx”,?“.sldm”,?“.sldm”,?“.vdi”,?“.vmdk”,?“.vmx”,?“.gpg”,?“.aes”,?“.ARC”,?“.PAQ”,?“.bz2”,?“.tbk”,?“.bak”,?“.tar”,?“.tgz”,?“.gz”,?“.7z”,?“.rar”,?“.zip”,?“.backup”,?“.iso”,?“.vcd”,?“.bmp”,?“.png”,?“.gif”,?“.raw”,?“.cgm”,?“.tif”,?“.tiff”,?“.nef”,?“.psd”,?“.ai”,?“.svg”,?“.djvu”,?“.m4u”,?“.m3u”,?“.mid”,?“.wma”,?“.flv”,?“.3g2”,?“.mkv”,?“.3gp”,?“.mp4”,?“.mov”,?“.avi”,?“.asf”,?“.mpeg”,?“.vob”,?“.mpg”,?“.wmv”,?“.fla”,?“.swf”,?“.wav”,?“.mp3”,?“.sh”,?“.class”,?“.jar”,?“.java”,?“.rb”,?“.asp”,?“.php”,?“.jsp”,?“.brd”,?“.sch”,?“.dch”,?“.dip”,?“.pl”,?“.vb”,?“.vbs”,?“.ps1”,?“.bat”,?“.cmd”,?“.js”,?“.asm”,?“.h”,?“.pas”,?“.cpp”,?“.c”,?“.cs”,?“.suo”,?“.sln”,?“.ldf”,?“.mdf”,?“.ibd”,?“.myi”,?“.myd”,?“.frm”,?“.odb”,?“.dbf”,?“.db”,?“.mdb”,?“.accdb”,?“.sql”,?“.sqlitedb”,?“.sqlite3”,?“.asc”,?“.lay6”,?“.lay”,?“.mml”,?“.sxm”,?“.otg”,?“.odg”,?“.uop”,?“.std”,?“.sxd”,?“.otp”,?“.odp”,?“.wb2”,?“.slk”,?“.dif”,?“.stc”,?“.sxc”,?“.ots”,?“.ods”,?“.3dm”,?“.max”,?“.3ds”,?“.uot”,?“.stw”,?“.sxw”,?“.ott”,?“.odt”,?“.pem”,?“.p12”,?“.csr”,?“.crt”,?“.key”,?“.pfx”,?“.der”

但是，它不會(huì)加密包含字符串“.cache”，“tmp”或“temp”的目錄中的文件。

如果文件擴(kuò)展名為“.zip”或“.rar”且文件大小超過(guò)51200 KB 或者50 MB，勒索軟件也不加密這些文件。另外小于150 KB的 “.jpeg”，“.jpg”和“.png”文件也不會(huì)成為加密對(duì)象。

文件類型列表包含一些與Android無(wú)關(guān)的目錄，同時(shí)缺少一些典型的Android擴(kuò)展，如.apk、.dex等。顯然，該列表是從臭名昭著的WannaCry勒索軟件中復(fù)制而來(lái)的。

文件加密后，文件擴(kuò)展名“.seven”將附加到原始文件名后，如下圖所示。

擴(kuò)展名為“.seven”的加密文件

解密機(jī)制

用于解密加密文件的代碼其實(shí)就存在于勒索軟件中，如果受害者支付贖金，勒索軟件操作員則可以通過(guò)下圖中所示的網(wǎng)站進(jìn)行驗(yàn)證，并發(fā)送私鑰解密文件。

贖金支付驗(yàn)證網(wǎng)頁(yè)

緩解措施

1.讓你的設(shè)備及時(shí)更新，最好將它們?cè)O(shè)置為自動(dòng)修補(bǔ)和更新，這樣你能隨時(shí)受到最新的保護(hù)。

2.如果可能，請(qǐng)使用Google Play或其他信譽(yù)良好的應(yīng)用商店，下載應(yīng)用。

3.在安裝任何應(yīng)用程序之前，請(qǐng)檢查其評(píng)級(jí)和評(píng)論。多看看負(fù)面評(píng)價(jià)的消息，因?yàn)樗鼈兺ǔ?.來(lái)自合法用戶，而積極的反饋往往是由攻擊者制定的。

5.留意應(yīng)用程序請(qǐng)求的權(quán)限，如果它們與應(yīng)用程序匹配的功能不符，請(qǐng)不要下載應(yīng)用程序。

攻擊指標(biāo)（IoC）

總結(jié)

以上是生活随笔為你收集整理的ESET最近发现了一款新的Android勒索软件，它通过向受害者的手机的联系人列表发送恶意短信继续传播的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。