安全预警勒索软件正成为制马人的新方向360移动安全团队.docxVIP

安全预警 勒索软件正成为制马人的新方向 360移动安全团队 2016年5月13日 目 录 TOC \o 1-3 \h \z \u 引言 1 第一章 木马分析 2 一、 木马样本分析 2 二、 短信链接分析 3 第二章 制马人分析 7 一、 制马人行为分析 7 二、 制马人信息 13 第三章 影响与趋势 15 一、 关联样本 15 二、 收益情况 15 三、 裂变式传播 16 四、 交叉式传播 17 附录一：参考资料 18 PAGE 1 引言 4月份360 移动安全团队发布的《Android勒索软件研究报告》详细揭露了目前国内Android勒索软件黑色产业链情况。其中，报告中指出国内勒索软件传播方式主要借助QQ群、受害者、贴吧和网盘。另外，报告也指出国内勒索软件的制作门槛低，制作人群呈现年轻化等特点。 我们在最近的研究分析中发现，勒索软件的恶意行为出现了新的变化趋势，开始出现交叉式传播。勒索软件通过遍历手机通讯录，向联系人群发带有恶意下载链接的短信的方式进行恶意软件的传播。传播的对象不仅是恶意软件自身，还有其他家族木马，如：专门通过窃取手机支付验证码及其它用户手机重要隐私信息，以达到洗劫用户资金目的的FakeTaobao[ 1]木马家族。 据我们所知，借助短信方式传播的Android木马家族SpamSoldier[ 2]最早出现在2012年12月，在2014年8月全国范围内爆发的“XX神器”事件[ 3]中被媒体和网民广泛的关注。目前为止，FakeTaobao木马家族是使用这种裂变式传播方式最活跃的木马家族。 我们通过恶意软件中制马人留下的信息，回溯了其长达半年之久的制马活动后发现，勒索软件传播出现的裂变式传播和交叉传播新趋势，正是由于制马人制马类型不再单一，正在变得多元化，而勒索软件正在成为制马人制马的新方向。  木马分析 木马样本分析 经过我们对必威体育精装版捕获的勒索软件的分析，该木马的运行流程如下图所示： 图1.1 木马运行流程 木马具体执行步骤： 木马运行后，启动恶意服务binge。 服务启动后，向手机号151****3857发送安装报活短信，短信内容“报告斌哥，软件已安装，已授权”。 遍历手机通讯录向手机中所有联系人发送带有恶意下载链接的短信，短信内容“{联系人姓名}，我帮别人做宣传。点击链接并下载并安装http://pre.im/****flaw，一定要下载安装哦，不下载安装对不起我哟！”。 构造并展现锁屏悬浮窗页面，不响应触摸事件。 隐藏自身图标。 我们在分析中发现，样本中涉及到敏感的字符串全部进行了DES加密处理。 图1.2 木马遍历联系人群发短信的代码片段 图1.3密文与明文对应关系 短信链接分析 短信中的链接指向http://pre.im/****flaw，Pre.im是一个免费的内测分发、应用托管工具网站，可以用于软件BUG测试和兼容性测试。制马人利用这种第三方网站提供的下载功能，上传恶意样本进行传播。 图1.4 Pre.im官网介绍 通过浏览器打开短信中的链接显示一个名为“秒赞神器”软件。实际上，经过分析这个“秒赞神器”软件是一个典型的设置PIN码类型的勒索软件，软件运行后会在用户不知情的情况下强制设置手机解锁PIN码，造成用户无法进入手机桌面。 图1.5 木马下载页面 在“秒赞神器”申请激活设备管理器页面上，制马人留下了自己的QQ联系方式。 图1.6 木马申请设备管理器页面 同时，在木马签名信息中也发现了同样的QQ号码。 图1.7 木马签名信息  制马人分析 制马人行为分析 我们通过恶意软件中制马人留下手机号和QQ信息，将其制作的恶意样本与我们捕获到的时间进行关联，回溯了制马人长达半年之久的制马活动。 图2.1 制马人半年的制马活动轨迹 从捕获时间看，包含制马人联系方式的恶意样本首次出现在2015年11月3日，软件名称为“system”。 图2.2 “system”恶意软件代码片段 15年11月3日到12月25日：制马人制马活动很少，偶尔制作几个名称为“system”、“卡钻”、“移动激活卡钻”等恶意软件。值得注意的是，新年前后期间正是广大网民抢红包的高峰期，在新年的前一周，12月24日制马人制作了一款名为“抢红包外挂”的恶意软件。从十一月到十二月期间制作的这些恶意软件都属于FakeTaobao木马家族。 16年1月1日：2016年新年伊始，制马人依然没有停下制马的脚步，元旦这天制马人开始尝试制作勒索软件测试Demo程序。 图2.3 勒索软件测试Demo程序 1月10日：制马人又开始转向制作钓鱼软件，制作了一个用于窃取QQ账号和密码的钓鱼软件测试Demo程序。 图2.4 钓鱼软件正在发送QQ账号密码信息 1