Android勒索软件剖析

00 序言 在2019年7月31日,安全性生产商ESET的科学研究工作人员Lukas Stefanko检测到一款对于Android用户的新式勒索软件Filecoder.C,此病毒感染第一次发生在Reddit和Android开发人员社区论坛...

00

序言

在2019年7月31日,安全性生产商ESET的科学研究工作人员Lukas Stefanko检测到一款对于Android用户的新式勒索软件Filecoder.C,此病毒感染第一次发生在Reddit和Android开发人员社区论坛XDA Developer上,再通过受害人手机很多散播。截止至迄今为止,大概有230人次已被确定“有没有中招”,而有意思的是即便受害人老老实实交了好几百美米的“保释金”,却仍然没法恢复数据。

这使我们禁不住思考2个状况:

? 大部分人到“有没有中招“后,因为缺乏充足的解决工作经验和技术性,通常手足无措、找不到方向。在历经猛烈的观念博奕后,首先服输,认栽,老老实实交费。促长了网络黑客的气势不用说也有很有可能发生”即便有密匙也没法修复手机“的状况。

挪动端安全防范较PC端较弱,显现出的攻击面大量。另外大多数用户对挪动APP的进攻技术性不足掌握,从侧边提升黑客入侵的通过率。

从而能够得到2个结果:

挪动端安全性威协将进一步提高,以勒索软件为意味着的恶意软件将进一步进到手机销售市场。

现阶段手机端销售市场缺乏一款使用性能的防勒索软件。

01

手机销售市场勒索软件状况

以360安全管理中心2017年的数据统计为例子,在2017年的1月至9月,均值每个月捕捉手机勒索软件5.五万多个。在其中1月到5月手机勒索软件展现起伏式提高,6月份网络警察在芜湖市、许昌将勒索病毒感染创作者小伙林某及关键宣传者晋某抓捕,全国首例手机勒索病毒感染案侦破,在6月份之后增加总数骤降,手机勒索软件创作者获得了一定威慑功效。

在2018年度,增加恶意软件434.2万个,均值每日增加约1.2万个。总体展现“前高后低“的趋势,且较2017年的勒索软件总数有显著的提高。从挪动威协发展趋势上看,5G时期的来临将更为冲击性挪动端安全性自然环境,到时候怎样降低攻击面及其提高手机內部安全性将变成科学研究的网络热点。

02

Android勒索软件原理

手机端勒索软件多装扮成一些系统功能部件,或一些独特作用的APP(如色情软件、游戏辅助、靠谱运用的安卓版等),哄骗用户开展安裝。勒索软件一般分成二种种类:屏保类和文档加密类,勒索软件在索取系统软件的一些权限后锁住用户机器设备或对文档开展数据加密,并开展勒索。勒索类恶意软件的目地一般很确立,只是是为了更好地开展非法牟取暴利,而用户的网络信息安全和隐私保护并不是犯罪分子所考虑到的。

从而我们可以了解:勒索软件取得成功运作的关键前提条件是获得管理工具权限。

Device admin是一个很危险的权限,设计方案之初,这一作用是用以生产厂家开发设计手机防盜作用的一个插口,只需用户安裝该类APP并点一下Activate,APP便具有机器设备管理人员权限,并具有下列权限的一种或多种多样:

数据库存储

禁止使用数码相机

禁止使用屏保有关特点

强制性登陆密码到期

锁定屏幕

限定能用登陆密码种类

密码重置

监管登陆密码键入的恰当或不正确

擦掉数据信息

一旦用户不在掌握权限的实际功效的状况下,给与了勒索软件这一非常权限,网络黑客能够无拘无束的对用户的手机开展锁住,密码重置等。

屏保类勒索软件:

此种类的勒索软件,在安卓系统文件目录下的manifest.xml中表明申请注册一个BoardcastReceiver,另外在meta-data中加上一个附加的device_admin.xml用以申明要应用的管理人员权限.

到时候只需用户点一下了此勒索软件,便会不断的弹出对话框向用户索取权限,直到用户愿意才终止弹出窗口。

一旦用户给了权限,要想撤消激话就只有在设定->安全性->机器设备管理应用程序 中手动式撤消激话,但这时早已于事无补,勒索软件便能够根据resetPassword方式重设掉用户的解锁密码。

额外表明:

Android N(7.x)中,DevicePolicyManager.resetPassword方式只有为沒有登陆密码的设备设定密码,但不可以重设或是消除现有的登陆密码了,因而旧版的故意运用在有登陆密码的设备上是没法密码设置的。

当App targetsdkversion为Android O(8.x)及之上,该API会立即抛出去SecurityException出现异常,因而故意运用会挑选较低的targetsdk版本号开展避开。

加密文件类勒索软件:

该病毒感染类似阅批病毒事情所暴发时的wannacry勒索软件,根据BTC的方式勒索用户交纳保释金并避开现金支付的风险性,最先此软件会规定用户打开輔助点一下服务项目,一旦用户给与了权限,马上自动跳转到激话设备管理器网页页面并模拟点击激话设备管理器,之上实际操作只是为了更好地提高本身的生存性,以后便加密文件,跳出来勒索页面规定用户交纳保释金。

假如数据信息被数据加密且应用了对称加密优化算法,或密匙是随机生成并被强上传入创作者的网络服务器,数据修复的几率会越来越十分迷茫。

下列编码完成转化成随机密码并提交至创作者的网络服务器:

下列编码完成数据加密或破译用户的文档:

03

Android勒索软件样版剖析

最先在网络上安装了一个公布的勒索软件样版,丢到手机模拟器里安裝一下,便会见到下列场景。

能够见到这一勒索软件在安裝的情况下向用户索要了许多比较敏感权限,如果有用户安全意识不强得话,通常会被具有吸引力的姓名欺诈安裝。

下面大家点一下容许,等候几秒钟后手机模拟器重新启动,一个难看的网页页面尽收眼底。。。。

看来是被勒索了,证实这一勒索病毒感染一切正常运作了,那麼下面大家对这一APK开展一下反向,先应用apktool对样版apk开展一下反汇编。

下面查询Manifest.xml文件,能够见到容许运用获得了许多比较敏感权限,如:向SD卡上写文档、容许运用程序修改全局性音频设置、容许应用软件获得手机全局性情况、容许浏览振动设备、容许程序流程开启对话框应用等。

下面进到源程序能够见到写了多种多样方法,有DES、MD5这些先后启用,很有可能被数据加密了不止一次。

之上便是勒索软件的原理了,有的勒索软件简单直接,都没有历经哪些免杀就立即释放出来,关键对于的是这些安全性意识淡薄的人群。也有的勒索软件藏在一切正常的APK之中或是历经免杀解决,一般状况下用户在应用的情况下看不出它是个难题手机软件,直至开启了勒索软件的数据加密涵数才会数据加密该设备文档,这类勒索软件有没有中招的通常是有一定安全防范意识的人群,一开始会谨小慎微在放松警惕后勒索软件才逐渐进攻。

04

Android勒索软件的传播效果

现阶段社交媒体变成了勒索软件的关键传播渠道,在其中QQ与QQ群变成了大部分网络攻击与受害人联络的唯一方法。

根据对勒索软件预埋的QQ号与QQ群的剖析,大家发觉绝大多数勒索信息内容上都会另外发生 QQ号和QQ群号。在类似网页布局的勒索网页页面中,转变是仅仅QQ号而 QQ群号基础不会改变。

在进入一些锁机软件QQ群后发觉,群内有些人将一些锁机软件源代码、测试视频、教程视频、app源码及制做专用工具这些上传入qq群文件中,共享资源给别人。此外还存有着“一键生成木马病毒“专用工具,这类一键生成器实际操作简易,不用具有程序编写专业知识也可以自定转化成各种类型的手机恶意软件。因为应用门坎低,导致了勒索软件从总数、种类上的持续提高与转变。

因而谨记不必随便安裝不正规应用商城中的手机软件,也不必随便的转帐或递交私人信息,另外要注意运用需要的权限,不必随便给与与运用作用不相干的权限。

05

Android勒索软件防御力方式

1、提高本人安全防范意识,回绝一切未知方式的软件安装包,只从靠谱店铺免费下载软件正版化。

2、不随便点未知连接或扫描仪不知道干什么的二维码,尽量阻拦恶意软件进到手机。

3、细心查询程序安装时索要的权限信息内容,由于勒索软件的运作前提条件是要得到手机浏览文档的权限,因此针对索要此权限的APP要分外留意。

4、定期维护手机,扫描仪是不是有潜在性木马病毒或恶意软件。

网络安全存活:让他人变成勒索软件(网络黑客)进攻的笑柄

Mount Locker勒索软件方案对于税务部门总体目标进行进攻

亚信安全:2020年勒索病毒感染导致的财产损失升高50%

全自动运维管理|运维管理专用工具的不断迅速交货实践活动

【预警信息】具备极高可配备性的Zeppelin勒索病毒来袭!!!

  • 发表于 2021-04-16 08:24
  • 阅读 ( 250 )
  • 分类:互联网

0 条评论

请先 登录 后评论
qq2094
qq2094

734 篇文章

你可能感兴趣的文章

相关问题