《行動裝置勒索病毒》躲進口袋的壞東西: Android勒索病毒,一年增加了140%

Mobile 手機 駭客 在幾個星期前,筆者在2016年的歐洲黑帽大會上談論了躲進口袋的壞東西:為什麼勒索病毒造成貓捉老鼠遊戲內的曲折劇情。當回顧2015年4月到2016年4月的行動勒索病毒 Ransomware (勒索軟體/綁架病毒)時,趨勢科技注意到了Android勒索病毒數量的大幅上升。在這一年時間內,Android勒索病毒數量增加了140%。某些地方的行動勒索病毒甚至佔行動惡意軟體總數的22%!(這些數字來自趨勢科技的行動應用程式信譽評比服務)。在這期間所注意到的一個趨勢是它跟傳統勒索病毒走勢有密切相關:跟其他勒索病毒一樣,行動勒索病毒也在不斷地發展和成長。

這項研究從筆者在Politecnico di Milano(POLIMI)時就開始,趨勢科技的行動研究團隊為這項研究做出巨大的貢獻。本文將討論行動勒索病毒所使用的技術及協助解決這些問題的偵測技術。

為什麼行動勒索病毒會得逞?上鎖和恐懼

根據趨勢科技的分析,鎖住螢幕和恐嚇受害者必須付錢,以重新啟用設備,是行動勒索病毒得逞的必備伎倆。

鎖住螢幕

SMSLocker(偵測為ANDROIDOS_SLOCKER或ANDROIDOS_SMSLOCKER)是現今Android勒索病毒的開端。最初它沒有使用加密技術,只是將目標檔案隱藏起來。2015年的版本會用根據設備產生的金鑰加密,所以很難去製作通用的解鎖工具。它主要利用簡訊進行命令和控制(C&C)通訊;有些變種會使用Tor。SLocker對行動勒索病毒最大的改變是使用Android UI API來鎖住設備螢幕。這是我們第一次看到惡意軟體利用此技術來控制設備,總結如下基於KeyEvent.Callback API呼叫:

  • 綁定onKeyDown()和onBackPressed()函式回調,
  • 只要受害者按下實體按鈕就會觸發回調,
  • 根據API,透過傳回「true」值給連鎖內的下一個回調(代表「不傳播,事件已經被處理」),應用程式有效地防止當前的活動被移到背景處理。

 

圖1、Android套件索引列表內onKeyDown()函式的說明

現在Android勒索病毒通常會用這種技術讓設備無法使用。重新啟動系統並不一定能夠解決問題,特別是當惡意軟體使用了持久性技術。但有經驗的使用者仍然可以移除惡意應用程式。

目前最先進的鎖住技術是基於設備管理API。攻擊者可以用它來偷偷地將原本的密碼變更成隨機產生的密碼來鎖住設備。雖然設備管理API有正常的用途(即讓企業管理員工設備),但它們也造成了額外的攻擊面。

比方說雜湊值a6dedc5f639b2e1f7101d18c08afc66d(偵測為ANDROIDOS_FAKETOKEN.FCA)的樣本就會使用此技術。首先要看到地方是manifest,必須宣告(並且要求權限)所需API的使用:

圖2和圖3、範例應用程式manifest的一部分,裡面要求了設備管理API權限和政策。

 

上面的manifest是Android開發人員指南的程式碼範例。如果我們深入前面所提的惡意軟體樣本程式碼(反組譯和反編譯),我們發現會呼叫lockNow()函式來鎖住設備,並且在另一個物件呼叫removeActiveAdmin()函式,如果要移除設備管理應用程式(即惡意軟體)就需要它。在呼叫lockNow()之前,勒索病毒會呼叫resetPassword()函式用來強制變更密碼。 LockDroid.E會使用隨機產生的密碼,這基本上是犯罪分子會在收到錢後發送給受害者的秘密資訊。

圖4和圖5、惡意軟體程式碼片段

 

即將推出的Android 7.0 牛軋糖(Android Nougat)對此有個對策。深入程式碼後顯示Nougat會檢查使用者是否已經有設定密碼。如果有,就不允許設備管理應用程式(無論是否合法)加以變更或重設。

 

圖6、Android 7.0 Nougat的程式碼

 

上述樣本和技術讓人了解了惡意軟體作者如何用現代的勒索病毒鎖住行動設備。那麼攻擊者如何讓受害者付錢呢?

行動勒索病毒如何利用恐懼取勝?假冒 60 國家執法單位”警告”用戶

當談到勒索病毒如何利用恐懼,一個值得一看的病毒是Koler(偵測為ANDROIDOS_KOLER)。雖然從純技術角度來看是相當標準的病毒,但它利用一個廣泛的分銷網路在約 60個國家本地化。勒索病毒會以看似來自當地執法單位的面貌來「警告」受害者,以說服受害者支付贖金。

 

圖7、各種語言的勒索警告

(圖片由Kafeine提供)

 

英語版本使用下面樣本內容:

圖8、英文勒索病毒警告(圖片由Kafeine提供)

 

此勒贖通知具備強制付款螢幕,類似此處所見:

 

圖9、勒索病毒付款螢幕(圖片由Kafeine提供)

 

另一個必須一提的是Svpeng(偵測為ANDROIDOS_SVPENG)。它起先是銀行木馬,演變成行動勒索病毒,下圖說明它是如何進行加密:

圖10、取得加密類別

 

取得加密類別後,該樣本會找出SD卡上所有的檔案並加以加密。結果就跟Windows平台上的勒索病毒類似:儲存在設備上的檔案無法存取。

 

圖11、在SD卡上搜尋和加密檔案

 

行動勒索病毒應用了跟一般電腦上勒索病毒相同的戰術,讓它成為強大的威脅,能夠賺進數百萬的美元。趨勢科技如何偵測和阻止這些威脅?這是將在下一篇文章中討論的內容。

 

@原文出處:Mobile Ransomware: Pocket-Sized Badness 作者:Federico Maggi(資深威脅研究員)

 

 

PC-cillin 2016雲端版已有增加對勒索軟體 Ransomware加密行為的防護機制,可預防檔案被勒索軟體惡意加密

 

趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載



 

 

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。

 

▼ 歡迎加入趨勢科技社群網站▼

好友人數