一群新生代網路犯罪集團正在中國崛起,他們比經驗老道的前輩們更膽大包天、更肆無忌憚。這些人都是 90 年之後出生,這群青年完全不怕被抓,不怕在網路上留下可被追查的聯絡資訊。他們會互相搜尋並分享現成的程式碼,然後再製作出屬於自己的惡意程式。正因為這一批人,中國地下市場一下子突然充斥著各種行動勒索軟體 Ransomware 。
鎖定Android 用戶的勒索軟體會在手機等行動裝置鎖定時將自己的程式畫面蓋在鎖定畫面上方,使用者將無法利用正常方式將它解除安裝。。。。(當心手滑小提醒:該勒索軟體經由「video」(視訊) 和「porn」(色情) 等字眼的網域散播…)
Posted by 趨勢科技 Trend Micro
行動勒索軟體版圖年輕化,千隻變種在地下市場散播
這群年輕的網路犯罪份子之所以敢大膽地踏入原本陌生的網路犯罪領域,或許是因為當地執法寬鬆,當然更可能的是因為年輕人無知的膽量。
趨勢科技第一次注意到這群網路犯罪新生代是在監控 Android 勒索軟體 Ransomware ANDROIDOS_JIANMO.HAT 的時候。此變種會將使用者的裝置螢幕鎖定,讓使用者完全無法進行任何操作。《推薦閱讀》勒索軟體轉戰行動領域
我們在地下市場搜尋了一下發現,此惡意程式大約有一千多個變種。其中約有 250 個含有惡意程式作者的相關資料,包括聯絡資訊,這些人的年齡從 16 至 21 歲不等。
圖 1:惡意程式作者的 QQ (中國流行的即時通訊軟體) 帳號個人檔案,其中也包含了年齡資料 (最後一行)。
在仔細研究過這些變種之後可以明顯看出,它們全都來自同一份原始碼,而這份原始碼在地下市場流通相當廣泛。下圖顯示兩種版本的勒索軟體鎖定畫面。左邊原始版本的畫面文字欄位當中含有一些開玩笑的話。右邊修改過的版本則是含有歹徒提供給受害者的聯絡資訊。此處歹徒留下了其 QQ 群帳號。
圖 2:右側惡意程式含有一段訊息:「想破解吧?千萬別扣我qq448 (紅色部分)」。
有可能原始版本只是個雛型,因為畫面上並未提供任何付款的資訊。但當這份原始碼在地下市場流傳時,就成了勒索軟體 Ransomware變種的範本。這些年輕的網路犯罪份子只需要將自己的聯絡資訊加入程式碼當中即可。
目前,這些網路犯罪份子所要求的贖金大約在 5-10 美元左右。相較於其他勒索軟體 Ransomware來說,這價錢看似一筆小錢,但歹徒未來很可能會獅子大開口,當然也有可能是他們的受害對象很多,因此不需要求太高的金額。
感染散布方式: 「師傅」吸收「學徒」,傳授詐騙教學;學徒以幫忙散布方式來繳「學費」
正如我們先前指出,中國網路犯罪地下市場提供了各種網路犯罪教學服務。一些所謂的「師傅」會吸收一些有興趣的「學徒」,然後傳授他們一些駭客知識和技巧等等。而這群年輕人也如法泡製。他們除了從事勒索軟體 Ransomware詐騙之外,也提供了這類教學服務。
圖 3:網路聊天室上張貼的惡意程式教學廣告。
這些網路犯罪份子採用兩種方法來散布惡意程式。首先,他們會潛伏在公開的聊天室當中,看看是否有張貼尋求 App 推薦的貼文。一旦找到有人尋求某種 App 的建議,他們就會提供指向惡意程式的連結。這些傳授惡意程式知識的導師也可能要求學徒以幫忙散布惡意程式的方式來繳「學費」。
圖 4:經由推薦 App 來散布惡意程式。
趨勢科技詳細追查了幾個已經進入這個行業的人,首先是一位 19 歲的中國青年,他是 JIANMO 惡意程式最早期的作者之一。自從製作了 JIANMO 惡意程式之後,目前已轉往其他勒索軟體 Ransomware發展。他最新發表的惡意程式ANDROIDOS_BZY.HBT 具備了更多功能,例如可擔任裝置管理員,等於完全掌控了裝置。受害者在支付贖金之後,僅會收到一封包含解鎖指示的文字簡訊。我們在網路聊天室上留意到數百則有關如何清除該程式的求助貼文。
圖 5:這位 19 歲勒索軟體作者的 QQ 帳號個人檔案,上圖是他的簽名欄:「提供遠端解鎖支援」,下圖是他偽裝成「安卓性能激活」軟體的最新惡意程式。
我們還發現另一位以同樣經營手法的惡意程式作者,這位作者旗下帶著一群學徒,並利用這群學徒來散布惡意程式。下圖顯示這個 QQ 群的檔案資料。檔案資料寫著該團體位於中國西安,除此之外還記載了成員的分布情形:79% 的成員為男性;6% 在西安;62% 在 90 年之後出生。
圖 6:專門製作及散布惡意程式的「讀書會」,其中 62% 的成員在 90 年後出生。
圖 7:群組成員之間彼此分享惡意程式。
提供公開的資訊,偽裝成一個告白 App 來引誘使用者下載並執行
如同我們先前提到,這些網路犯罪份子不太在乎曝露自己的行蹤。他們經常使用即時通訊帳號 (如 QQ) 來和受害者聯繫。這些 QQ 帳號通常就是他們的個人帳號,也就是說,任何人都可能找出他們的真正身分。當然,要在 QQ 個人檔案資料上造假也是輕而易舉,不過因為我們早就在其他網路犯罪行動當中看到有青年份子參與,因此,這群自稱 19 歲的青年應該不是造假。
我們甚至可在趨勢科技偵測到的行動勒索軟體 ANDROIDOS_GREYWOLF.HBT 當中找到作者的電子郵件帳號。此勒索軟體 Ransomware正是前述「讀書會」所製做。該軟體偽裝成一個告白 App 來引誘使用者下載並執行。它會產生隨機的序號與解鎖金鑰,並回傳至作者的電子郵件信箱。我們之所以知道,是因為作者將自己的電子郵件帳號和密碼都內嵌在惡意程式當中。
圖 8:從受害者裝置收到的惡意程式序號和解鎖密碼。
圖 9:與受害者交易的電子郵件樣本
除此之外,這些網路犯罪份子也偏愛透過支付寶、微信以及銀行轉帳來接受付款。這和當今普遍利用數位貨幣來掩護非法活動的趨勢大相逕庭。
安全習慣
從年初開始,趨勢科技已經見到 20 幾個新的行動勒索軟體 Ransomware家族,每一個家族都有 1,000 個以上的版本和衍生變種。也就是說使用者在網路上遭遇到勒索軟體的機率大增。
為了確保您下載的 App 確實是正牌而非冒牌的惡意程式,請務必只從官方 App 商店或開發廠商的網站下載程式。想在網路討論區上詢問一些 App 的建議固然很好,但請千萬別點選人家提供的連結。您最好是自行搜尋好評推薦的 App,而非點選陌生人所提供的連結。
在您下載任何 App 之前,請重複確認其開發廠商並仔細閱讀別人對 App 的評論,以確保 App 的真實性。此外,安裝一套像安全趨勢科技「安全達人」免費行動防護App( Android / iOS )的資安軟體,也可以讓您多一層保護來防止這類威脅。
以下是本文所述行動惡意程式的相關 SHA1 雜湊碼:
ANDROIDOS_JIANMO.HAT
- 6828d9e301b190c5bbf7b6c92627ebf45a898f0f
- b2c1b0738fbfb21c1905322d434c5958be889e73
- c600fc7b3828f2dbbbac46a290390a50c0c605f9
- d0af92d32f35ea6ce10bbab5e350cbccc1360f86
ANDROIDOS_GREYWOLF.HBT
007830d17abf70b4e5d2194f3aa1a628cb4a70f2
f3c1cf6b96c1eb92f43dda545575d2b4a15af6a7
ANDROIDOS_BZY.HBT
3d0e995d4a795ab4c59b4285f62c4c4585c11fa6
4da1062ededceb523a886690515b48167b608753
65c66561ad8b5c719d6a9b6df6d9025048a8057b
⊙原文出處:90 世代駭客:中國青年做起行動勒索軟體生意 (Attack of the 90s Kids: Chinese Teens Take On the Mobile Ransomware Trade)| 作者:Veo Zhang (行動裝置威脅分析師)
想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚
《提醒》在粉絲頁橫幅,讚的右邊三角形選擇接收通知和新增到興趣主題清單,重要通知與好康不漏接
誤點網路釣魚信,是勒索軟體 Ransomware等新型攻擊得逞的主因【免費下載AV-TEST 年度「最佳防護獎」防毒軟體/PC-cillin 用戶填問卷,抽晴雨兩用傘】
【推薦】防毒軟體大評比: 惡意程式防禦力 PC- cillin雲端版榮獲第一名!
【推薦】PC-cillin 雲端版 榮獲世界著名防毒評鑑機構高度評比
◎ 歡迎加入趨勢科技社群網站