LeakerLocker 勒索病毒不加密檔案,但威脅洩漏手機個資

眾所皆知,勒索病毒 Ransomware (勒索軟體/綁架病毒)最主要的勒贖手段是將受害者的檔案加密 (如近期出現的 SLocker),然而,最近卻出現了一個名為 LeakerLocker 的新形態手機勒索病毒會將受害者手機上的個人資料傳送至遠端伺服器然後要求受害人支付贖金,否則就將資料發送給通訊錄中的每一個人。

透過三個 Google Play上的應用程式散布:「Wallpapers Blur HD」(散景桌布)、「Booster & Cleaner Pro」(系統優化清理程式) 以及「Calls Recorder」(電話錄音程式)

這個 LeakerLocker 勒索病毒目前是透過三個 Google Play 商店上的應用程式來散布:「Wallpapers Blur HD」(散景桌布)、「Booster & Cleaner Pro」(系統優化清理程式) 以及「Calls Recorder」(電話錄音程式)。三個應用程式目前皆已被 Google Play 商店下架,趨勢科技將該病毒命名為:ANDROIDOS_LEAKERLOCKER.HRX。儘管並無證據顯示這些應用程式是由同一作者所撰寫,但這樣的可能性卻很高,因為它們全都散布同一個勒索病毒。除此之外,我們也在 Google Play 商店上發現一些名稱相似的應用程式,雖然我們仍不確定它們與前述惡意程式有何關聯,但我們已經將這些應用程式通報給 Google。

本文將深入探討前述名為「Calls Recorder」的應用程式說明一下這個 LeakerLocker 勒索病毒。

技術層面分析

 我們很快地分析了一下 LeakerLocker 之後發現它的感染過程如下:

 A quick glance at LeakerLocker reveals the following infection vector:

Figure 1

Figure 1: LeakerLocker infection diagram

圖 1:LeakerLocker 感染過程示意圖。

Calls Recorder 應用程式本身是經由 Google Play 下載,在本文發布時,該應用程式已經遭到下架,而我們也早已將前述應用程式通報給 Google。

Figure 2

圖 2:Google Play 商店上的「Calls Recorder」程式。

親友團不夠龐大,惡意程式將會自動退出

當「Calls Recorder」應用程式下載並安裝到使用者裝置之後,首先會查看手機上的聯絡人、相片、通話記錄等等來檢查其數量是否超過一定門檻。換句話說,若受害手機上沒有太多聯絡人、照片、通話記錄的話,惡意程式將會放棄而中止執行。

Figure 3

圖 3:檢查聯絡人、相片和通話記錄數量的程式碼。

每 15 分鐘察言觀色再行動

接下來,Calls Recorder 會暫時等候 15 分鐘之後再繼續執行,這是目前歹徒常用的一種躲避資安產品動態偵測技術的手法。等 15 分鐘一到,Calls Recorder 就會開始檢查使用者裝置是否連上 WiFi 無線網路。若有,它會暫時關閉無線網路一會兒,看看行動網路連線是否可用。如果無法使用行動網路,它的動作就到此為止。接著,它將 WiFi 恢復到先前狀態。

如果使用者的手機經過前面幾項檢查都過關,那麼最後應用程式會再檢查其 InstallReferrerReceiver 元件。這是用來接收 Google Play 商店廣播訊息的元件,一般用於追蹤應用程式的安裝管道。不過,此處該應用程式也用它來當成連上遠端伺服器時的重要參數。基本上,該惡意程式是經由 Google Play 商店應用程式安裝到手機上,因此只能經由此方式來從事惡意行為。

當受害手機在前述檢查當中都過關之後,Calls Recorder 會試圖連上「http://updatmaster.top/click.php」這個網址。如果成功連上,就會發送一個廣播通知來觸發惡意程式。

 當接收端收到廣播通知,就會啟動另一個名為「x.ld.Ld」的類別。在廣播通知發出之後應用程式就會載入,然後 x.ld.Ld 就會連上「http://176.9.18.91」這個網址來取得歹徒的進一步指令。

遠端伺服器會回應需要下載及設定的 JAR 檔案資訊。根據我們所分析到的伺服器回應資料顯示,Calls Recorder 接著會下載「u.jar」和「x.awvw.Awvw.jar」這兩個 JAR 檔案以及對應的設定資訊。接著 Calls Recorder 會載入、執行、然後移除這兩個 JAR 檔案。

Figure 4

圖 4:下載的 Jar 檔案與設定資訊。

然而我們所攔截到的「u.jar」其實無法執行,但「x.awvw.Awvw.jar」會從「http://5.9.65.235:18011」這個網址再下載另一個 Jar 檔案來執行。

此時下載的檔案將儲存成「support.jar」,接著,它會連上位於「http://5.9.65.235:18080」的伺服器來取得進一步的工作清單並加以執行。

經過初步的分析,「support.jar」會在 WebView 當中開啟網頁,然後點選 WebView 當中特定位置的物件、清除瀏覽器的 Cookie,並且攔截 HTTP 請求。Calls Recorder 應用程式內含用來產生勒索訊息頁面的程式碼,勒索訊息含有受害者手機上的聯絡人、通話記錄、簡訊以及其他敏感資訊。

Figure 5

圖 5:LeakerLocker 的勒索訊息畫面。

至於 LeakerLocker 要脅洩漏受害者資料的部分,我們並未找到確切的程式碼。但歹徒光是利用使用者害怕資料外洩的心理,就足以成功要脅被害人。傳統的檔案加密勒索病毒利用的是它可能造成的損失,而 LeakerLocker 利用的則是受害者更深層的恐懼。換句話說,就算勒索病毒沒做什麼,光憑它暗示可能採取的行動,就足以讓人心生畏懼。但不管怎樣,就算目前這方面的程式碼還不夠完備,但病毒還可從幕後操縱 (C&C) 伺服器下載更多程式碼來執行。

 防範之道:下載應用程式之前務必留意,隨時保持裝置更新

該病毒的關鍵是它可從網路上下載 Java 或 Jar 等惡意檔案來執行,這表示它的惡意行為將千變萬化。因此,所有手機用戶在安裝及下載應用程式時都應盡量小心謹慎。一個最好的方法就是在下載應用程式之前務必多看看別人對該程式的評論,並且仔細留意是否有任何評論透露出該程式可能有問題的徵兆。此外,使用者也應隨時保持裝置更新,隨時套用可用的修補。

同時,也可考慮安裝一套完整的資安防護來防範手機勒索病毒。趨勢科技行動安全防護 即可攔截來自應用程式商店的威脅,不讓惡意程式有機會安裝或造成損害。

以下是本文相關的雜湊碼:

SHA256

  • cb0a777e79bcef4990159e1b6577649e1fca632bfca82cb619eea0e4d7257e7b
  • 486f80edfb1dea13cde87827b14491e93c189c26830b5350e31b07c787b29387
  • 299b3a90f96b3fc1a4e3eb29be44cb325bd6750228a9342773ce973849507d12
  • c9330f3f70e143418dbdf172f6c2473564707c5a34a5693951d2c5fc73838459
  • d82330e1d84c2f866a0ff21093cb9669aaef2b07bf430541ab6182f98f6fdf82
  • 48e44bf56ce9c91d38d39978fd05b0cb0d31f4bdfe90376915f2d0ce1de59658
  • 14ccc15b40213a0680fc8c3a12fca4830f7930eeda95c40d1ae6098f9ac05146
  • cd903fc02f88e45d01333b17ad077d9062316f289fded74b5c8c1175fdcdb9d8
  • a485f69d5e8efee151bf58dbdd9200b225c1cf2ff452c830af062a73b5f3ec97
  • b6bae19379225086d90023f646e990456c49c92302cdabdccbf8b43f8637083e
  • 4701a359647442d9b2d589cbba9ac7cf56949539410dbb4194d9980ec0d6b5d4

 

原文出處:LeakerLocker Mobile Ransomware Threatens to Expose User Information 

作者:Ford Qin