Android (安卓) - 資安趨勢部落格

“你的文件被加密了…帯好錢來聯繫我”簡中版勒索病毒 SLocker 模仿WannaCry 向錢看

2017 年 08 月 16 日2017 年 08 月 16 日趨勢科技 TrendMicro

趨勢科技的研究人員發現一個新變種SLocker會在Android上模仿WannaCry(想哭)加密勒索病毒介面。這被偵測為ANDROIDOS_SLOCKER.OPSCB的新SLocker行動勒索病毒的特點是會利用中國社群網路QQ的功能，還會持續鎖住螢幕。

SLocker是在7月被首度偵測和分析的Android檔案加密勒索病毒，會模仿WannaCry的介面。隨然中國警方已經逮捕遭指控的勒索病毒作者，但其他的 SLocker 操作者顯然仍未受影響,持續發佈新變種。

偽裝遊戲作弊工具,討論熱門手遊的QQ聊天群組成毒窟

受害者大多是從討論熱門手遊“王者榮耀”的QQ聊天群組感染這行動勒索病毒，這也是之前版本的傳染媒介。它會偽裝成遊戲作弊工具，使用名稱“錢來了”或“王者榮耀修改器”來作偽裝。這遊戲在中國非常受歡迎，有兩億的註冊使用者。

病毒樣本被封裝成“com.android.admin.hongyan”（hongyan就是“紅顏”）和“com.android.admin.huanmie”（huanmie就是“幻滅”）。這兩個詞常被用在中國小說中，在青少年中很普及。

SLocker 中文簡體字勒索訊息自問自答寫著:

發生了什麼?
》你的文件被我加密了,解密的話帯好錢來聯繫我喔!
除了付款有其破解方法嗎?
》幾乎是沒有的,除非找我付款解密

先前的版本,還很狂妄地說:沒有我們的解密服務,就算老天爺來了也不能恢復這些文檔…

還要受害者注意語氣,沒錢不要來騷擾

SLocker 中文簡體字勒索訊息自問自答寫著: 發生了什麼? 》你的文件被我加密了,解密的話帯好錢來聯繫我喔! 除了付款有其破解方法嗎? 》幾乎是沒有的,除非找我付款解密 — SLocker 中文簡體字勒索訊息

新變種的附加功能: 將受害者導向一個討論製作勒索病毒賺錢的QQ論壇

除了圖形介面（也有些設計變動）和可以在假工具執行時變更手機桌布外，這個新變種SLocker和之前版本並沒有其他相似之處。跟ANDROIDOS_SLOCKER.OPST不同，新變種使用Android整合開發環境（AIDE），這是可以直接在Android上開發Android應用程式的軟體。要注意的是，使用AIDE可以讓勒索病毒操作者更加容易製作Android軟體（APK），這樣的便利性會吸引新手來開發自己的病毒變種。繼續閱讀

這隻手機勒索病毒嫌棄沒有朋友的人,自動退出,不駭了

2017 年 08 月 05 日2017 年 12 月 08 日趨勢科技 TrendMicro

LeakerLocker 勒索病毒不加密檔案,但威脅洩漏手機個資

眾所皆知，勒索病毒 Ransomware (勒索軟體/綁架病毒)最主要的勒贖手段是將受害者的檔案加密 (如近期出現的 SLocker)，然而，最近卻出現了一個名為 LeakerLocker 的新形態手機勒索病毒會將受害者手機上的個人資料傳送至遠端伺服器然後要求受害人支付贖金，否則就將資料發送給通訊錄中的每一個人。

透過三個 Google Play上的應用程式散布：「Wallpapers Blur HD」(散景桌布)、「Booster & Cleaner Pro」(系統優化清理程式) 以及「Calls Recorder」(電話錄音程式)

這個 LeakerLocker 勒索病毒目前是透過三個 Google Play 商店上的應用程式來散布：「Wallpapers Blur HD」(散景桌布)、「Booster & Cleaner Pro」(系統優化清理程式) 以及「Calls Recorder」(電話錄音程式)。三個應用程式目前皆已被 Google Play 商店下架，趨勢科技將該病毒命名為：ANDROIDOS_LEAKERLOCKER.HRX。儘管並無證據顯示這些應用程式是由同一作者所撰寫，但這樣的可能性卻很高，因為它們全都散布同一個勒索病毒。除此之外，我們也在 Google Play 商店上發現一些名稱相似的應用程式，雖然我們仍不確定它們與前述惡意程式有何關聯，但我們已經將這些應用程式通報給 Google。

本文將深入探討前述名為「Calls Recorder」的應用程式說明一下這個 LeakerLocker 勒索病毒。

技術層面分析

我們很快地分析了一下 LeakerLocker 之後發現它的感染過程如下：

A quick glance at LeakerLocker reveals the following infection vector:

Figure 1: LeakerLocker infection diagram

圖 1：LeakerLocker 感染過程示意圖。

Calls Recorder 應用程式本身是經由 Google Play 下載，在本文發布時，該應用程式已經遭到下架，而我們也早已將前述應用程式通報給 Google。

圖 2：Google Play 商店上的「Calls Recorder」程式。

親友團不夠龐大，惡意程式將會自動退出

當「Calls Recorder」應用程式下載並安裝到使用者裝置之後，首先會查看手機上的聯絡人、相片、通話記錄等等來檢查其數量是否超過一定門檻。換句話說，若受害手機上沒有太多聯絡人、照片、通話記錄的話，惡意程式將會放棄而中止執行。

圖 3：檢查聯絡人、相片和通話記錄數量的程式碼。

每 15 分鐘察言觀色再行動

繼續閱讀

別輕忽孩子暑假的上網習慣！

2017 年 07 月 25 日2017 年 07 月 25 日趨勢科技TrendMicro

開啟趨勢安全達人「兒少防護網」，保護孩子的上網安全。

暑假來臨，是孩子們最歡樂自由的時光，但大人卻也繃緊神經，不僅要注意孩子與好友們出遊的安全，每天在網路上瀏覽的資訊更要注意！

雖然每個年代的娛樂方式都不同，但小孩接觸的資訊及行為卻是越來越複雜，對於不良的事物更是防不勝防，除了可能沉迷遊戲、社群軟體甚至有機會誤入色情網站。

根據台灣教育部調查，在平日上課期間，國小學生平均近1小時，國中生近2小時，高中職學生則是超過2小時的時間！
若是週休二日或是暑假時間呢？結果更是變本加厲，國小2小時，國中近4小時，高中職平均已經超過4小時了！隨著年紀越大沉迷的狀況越顯嚴重，而且對於出現瀏覽的內容更是難以掌控。

趨勢安全達人特地為了用戶上網的安全，開發一個「上網防護」的功能

繼續閱讀

Android 後門程式 GhostCtrl ,可暗中錄音、錄影，還可隨心所欲操控受感染的裝置

2017 年 07 月 20 日2017 年 07 月 26 日趨勢科技 TrendMicro

《Pokemon Go(精靈寶可夢)》手機遊戲在去年 7 月 6 日正式推出之後，沒過多久即出現一個夾帶木馬的冒牌版本,接著又出現鎖定螢幕程式,還會幫你偷偷點色情廣告的程式。

今年 7月在寶可夢週年慶祝活動盛大舉辦之際，趨勢科技發現到一款會假冒成偽裝成 Pokemon GO 寶可夢的Android App，被駭客鎖定放置惡意後門程式，以竊取裝置的帳號資料還會暗中錄音竊聽。這款被命名為「GhostCtrl」的後門惡意程式，主要是針對安卓 (Android )用戶，會假冒成如 Pokemon GO 、WhatsApp 等熱門應用程式或手機遊戲，誘騙使用者上鉤。

最近攻擊以色列醫院的 RETADUP 資訊竊盜蠕蟲其實出乎我們的意料，能造成的威脅還不只這樣 (至少就衝擊面來看是如此)，它還會引來一個更危險的威脅，那就是可操控受害裝置的 Android 惡意程式-這就是趨勢科技命名為 GhostCtrl 的後門程式 (ANDROIDOS_GHOSTCTRL.OPS / ANDROIDOS_GHOSTCTRL.OPSA)。之所以如此命名，是因為它會暗中操控感染裝置的多項功能。

GhostCtrl 共有三種版本。第一版會竊取資訊並掌控裝置的特定功能，第二版會進一步操控更多功能，第三版則吸收了前兩版的優點之後再加入更多功能。從該程式的技巧演進情況來看，未來只會越來越厲害。

宣稱只要在 Android 裝置上透過觸控方式就能遠端遙控 Windows、Linux 和 Mac 系統

GhostCtrl 其實是 2015 年 11 月曾經登上媒體版面的 OmniRAT 這個商用多功能惡意程式平台的變種之一 (至少是以它為基礎)。它宣稱只要在 Android 裝置上透過觸控方式就能遠端遙控 Windows、Linux 和 Mac 系統。OmniRAT 套件的終生授權版價格約在 25 至 75 美元之間。不意外地，各大地下論壇到處充斥著使用 OmniRAT 工具的駭客教學，有些人甚至還幫它開發了一些修補程式。

事實上，有一個特徵可以看出這個 APK 的確是從 OmniRAT 衍生而來 (請看下圖)，由於這是一個 RAT 服務，因此這一點其實可以在程式編譯的時候修改 (或移除)。

圖 1：從 GhostCtrl 第 3 版的資源檔 resources.arsc 中可看出它是衍生自 OmniRAT 的變種 (請看標示處)。

GhostCtrl 偽裝成一般正常或熱門的應用程式,比如 whatsapp、Pokemon GO

此惡意程式會偽裝成一般正常或熱門的應用程式，名稱大多叫做 App、MMS、whatsapp，甚至是 Pokemon GO。當應用程式啟動時，它會從資源檔解開一個 base64 編碼的字串並寫入磁碟，這其實就是惡意 Android 應用程式套件 (APK)。

這個惡意 APK 會由另外一個負責包覆的外層 APK 來動態點選它，然後要求使用者安裝它。這程式非常難纏，就算使用者在要求安裝的頁面上點選「取消」，訊息還是會馬上又出現。此惡意 APK 沒有圖示。安裝到裝置之後，外層 APK 會啟動一個服務來讓主要惡意 APK 在背景執行：

圖 2：外層 APK 負責解開主要 APK。

主要 APK 具備了後門功能，而且通常取名為「com.android.engine」來讓使用者誤以為是一個正常的系統應用程式。接下來，惡意 APK 會連線至幕後操縱 (C&C) 伺服器來接收指令，透過「new Socket(“hef–klife.ddns.net”, 3176)」的方式來建立連線。

GhostCtrl 可隨心所欲操控受感染的裝置,使用者毫不知情

來自 C&C 伺服器的指令會經過加密，APK 在收到之後會自行解密。有趣的是，趨勢科技也發現此後門程式在連線時會使用網域名稱，而非 C&C 伺服器的 IP 位址，這有可能是為了隱藏通訊。此外我們也發現有多個網域都曾經指向同一個 C&C IP 位址：

hef–ddns.net
f–ddns.net
no-ip.biz
no-ip.biz

值得注意的是，指令中可包含動作代碼和物件資料，駭客可透過這方式來指定攻擊目標和攻擊內容，因此這個惡意程式對犯罪集團來說非常彈性。該指令可讓駭客暗中操縱裝置的功能，讓使用者毫不知情。

以下是一些動作代碼和其對應的動作：

動作代碼 = 10、11：操控 Wi-Fi 狀態。
動作代碼 = 34：監控手機各感應器的即時資料。
動作代碼 = 37：設定手機使用介面模式，如夜晚模式/車用模式。
動作代碼 = 41：操控震動功能，包括振動方式和時機。
動作代碼 = 46：下載圖片來當成桌布。
動作代碼 = 48：列出當前目錄中的檔案清單並上傳至 C&C 伺服器。
動作代碼 = 49：刪除指定目錄中的檔案。
動作代碼 = 50：重新命名指定目錄中的檔案。
動作代碼 = 51：上傳某個想要的檔案至 C&C 伺服器。
動作代碼 = 52：建立一個指定的目錄。
動作代碼 = 60：使用文字轉語音功能 (將文字轉成音訊)。
動作代碼 = 62：傳送 SMS/MMS 簡訊至駭客指定的號碼；內容可自訂。
動作代碼 = 68：刪除瀏覽器歷史記錄。
動作代碼 = 70：刪除 SMS 簡訊。
動作代碼 = 74：下載檔案。
動作代碼 = 75：撥打駭客指定的電話號碼。
動作代碼 = 77：打開活動檢視應用程式，駭客可指定統一資源識別碼 (Uniform Resource Identifier，簡稱 URI)，如：開啟瀏覽器、地圖、撥號的檢視等等。
動作代碼 = 78：操控系統的紅外線發射器。
動作代碼 = 79：執行駭客指定的指令列命令，並上傳輸出結果。

蒐集並上傳通話記錄、簡訊記錄、通訊錄、電話號碼、SIM 卡序號、地理位置、瀏覽器書籤

還有一個特別的 C&C 指令是一個整數指令，用於竊取裝置的資料，包括蒐集並上傳各種對網路犯罪集團有價值的敏感資訊，如：通話記錄、簡訊記錄、通訊錄、電話號碼、SIM 卡序號、地理位置、瀏覽器書籤等等。

PC-cillin 跨平台防護 Windows、Mac、Android、iOS跨平台全面防毒》即刻免費下載試用

繼續閱讀

假冒《王者榮耀》作弊程式,山寨版 WannaCry 病毒,盯上 Android 用戶

2017 年 07 月 12 日2017 年 07 月 11 日趨勢科技 TrendMicro

繼淘寶上出現「高仿版」的WannaCry 病毒，售價10 人民幣之後,上個月稍早，趨勢科技發現手機勒索病毒 Ransomware (勒索軟體/綁架病毒)「SLocker」出現了一個新的變種 (趨勢科技命名為：ANDROIDOS_SLOCKER.OPST)，其畫面很像之前肆虐全球的WannaCry(想哭)勒索蠕蟲勒索病毒。SLocker 家族基本上是最古老的手機勒索病毒之一，會鎖定裝置畫面並加密檔案，而且還會假冒執法機關的名義恐嚇受害者，讓受害者乖乖付錢。該病毒在沉寂了多年之後，突然在今年五月重出江湖。這次的 SLocker 變種基本上是一個針對 Android 平台的檔案加密勒索病毒。

不過，雖然這個 SLocker 變種可將手機上的檔案加密，但卻沒有肆虐多久。因為，就在該病毒的詳細手法被公開之後，不久便出現針對該病毒的解密工具，為此該病毒也隨即推出更多變種。然而在該病毒首度被發現後的五天，一名疑似其作者的駭客即被中國公安逮捕。由於該病毒散布的管道有限 (大多經由 QQ 群和 BBS 系統之類的網路論壇散播)，因此受害者數量非常稀少。