Android 手機勒索病毒再進化-更大、更壞、更強!

行動裝置威脅不光只有資訊竊取程式和惡意程式而已,還有手機勒索病毒 Ransomware (勒索軟體/綁架病毒)。它們雖然不像電腦版的勒索病毒 (如 WannaCry(想哭)勒索蠕蟲 和 Petya) 威力那麼強,但隨著手機使用率越來越高 (尤其是企業),很自然地會有越來越多網路犯罪集團開發出這類威脅。

2017 年上半年偵測到 23.5萬 隻Android 手機勒索病毒,為 2016 一整年的 1.81 倍

以 Android 平台手機勒索病毒為例,去年 (2016年) 第四季趨勢科技偵測及分析到的變種數量是 2015 年同期的三倍。沒錯,增加幅度相當驚人。光 2017 年上半年我們就已經偵測到 235,000 個 Android 手機勒索病毒,這數量足足是 2016 一整年的 1.81 倍。

圖 1:Android 手機勒索病毒偵測數量比較 ─ 2016 與 2017 年前兩季。

然而最近突然爆發的一波專門針對 Android 裝置的鎖定螢幕與檔案加密惡意程式,也突顯出手機勒索病毒數量正不斷成長,其中包括:會模仿 WannaCry 並利用正常社群網站散布的 SLocker,以及威脅要將受害者個人資料公開的 LeakerLocker。現在,SLocker 的原始程式碼據聞已經被反組譯出來並外流至 GitHub 上,未來勢必將看到更多類似的威脅。

那麼,Android 加密勒索病毒目前的發展情況如何?行動裝置威脅情勢的未來展望又是如何?

圖 2:加密勒索病毒的典型行為。

從螢幕鎖定程式演變至檔案加密程式
過去,典型的 Android 手機勒索病毒都相當單純。它們會將裝置螢幕鎖住,然後顯示一個勒索訊息畫面。這類螢幕鎖定程式第一次演化成檔案加密勒索病毒是在 2014 年 5 月,也就是:Simple Locker (趨勢科技命名為 ANDROIDOS_SIMPLOCK.AXM),該病毒會將行動裝置內建儲存空間及 SD 卡上的檔案加密。從那時起,我們便陸續看到一些類似的威脅,其中某些變種甚至只是將原本的惡意程式重新包裝,然後就在第三方應用程式市集上架。其他的則是非常積極地頻繁發布更新以躲避偵測。事實上,我們甚至看到某個惡意程式作者在五月份修正其勒索病毒問題,以更新其勒索訊息顯示及取得的方式。

圖 3:駭客修正了我們在 2017 年 5 月採樣的勒索病毒當中一個與勒索訊息相關的問題 (應用程式簽署時間為 2017-05-01 23:15:04)。

然而 Android 加密勒索病毒到底有何不同之處?自從 2014 年 5 月出現第一個 Android 加密勒索病毒以來,我們便一直在監控並分析 Android 手機加密勒索病毒,我們發現它們有以下幾項共同點:

假借熱門遊戲與影片播放應用程式它們絕大多數都假借「Adobe Flash Player」、「Video Player」和其他熱門遊戲軟體的名稱,並使用 Android 的預設圖示或 Adobe Flash Player 的圖示。這樣的名稱和圖示倒是蠻符合其主要散布途徑,也就是:遊戲與影片播放應用程式。不過值得注意的是,Android 不支援 Flash 已經至少有五年了。

冒用手機內建軟體套件名稱。Android 應用程式是由一些套件所組成,而且必須包含一個指定名稱的主要套件。這是 Android 應用程式彼此識別方式,甚至也用來與自身的先前版本區隔 (例如在升級或更新時)。趨勢科技發現許多手機加密勒索病毒都會冒用一些手機內建軟體 (如:電子郵件、行事曆、瀏覽器應用程式) 的套件名稱。一個歹徒常用的名稱就是「com.common.calendar」,因為這看起來像是內建程式的名稱,所以使用者通常會不敢將它移除。



圖 4:某些趨勢科技所分析的手機加密勒索病毒內容屬性。

攻擊目標愈來愈針對性。加密勒索病毒的攻擊對象比較全球化,但有時還是會有特別鎖定的族群。當它們鎖定的對象在中東國家時,甚至會特別製作適合當地的程式介面。趨勢科技根據反組譯之後的程式碼再配合沙盒模擬分析之後發現,這類威脅現在的攻擊對象越來越有針對性。例如我們 2014 年 5 月發現的 Simple Locker,其勒索訊息是以俄羅斯文撰寫的,但訊息當中要求的贖金卻是烏克蘭幣,很可能它當初就是鎖定該國的 Android 用戶。此外也有模仿 WannaCry 的 Android 勒索病毒卻要求透過支付寶 (Alipay) 、微信 (WeChat) 和 QQ 來支付贖金的,這顯示歹徒鎖定的中國的使用者。



圖 5:Simple Locker 的勒索訊息 (以俄羅斯文撰寫)。

還有另一個案例是在阿拉伯聯合大公國、沙烏地阿拉伯以及伊朗所發現的加密勒索病毒。這些病毒會偵測系統的語言與行動電話網路業者,然後選擇對應的使用介面來顯示。它會利用 XMPP 即時通訊協定來溝通。



圖 6:使用阿拉伯文的勒索訊息畫面。

 

圖 7:我們 2014 年 12 月 (上) 和 2015 年 7 月 (下) 所採樣到惡意程式反組譯後程式碼片段顯示程式內加入了一些中東國家。

絕大多數的加密金鑰都會經過客製化並儲存在遠端伺服器基於效能的考量,歹徒最常用的是 AES 加密演算法。此外,歹徒所加密的檔案類型也隨著時間演進而不斷增加。2014 年 5 月當時才 13 種檔案,但到了該年年底就已成長到 78 種。以前,加密金鑰大多寫死在程式碼當中,或者儲存在 shared_pref  當中 (也就是應用程式儲存偏好設定的地方),因此要解開被加密的資料並非難事。現在,絕大多數的加密金鑰都會經過客製化並儲存在遠端伺服器。 

解密方式共同點:遠端伺服器驗證。雖然檔案解密的方式也隨著多年的發展而演變,但仍有一個共同點就是:遠端伺服器驗證。惡意程式會經由網路通訊發送內含「stop」或「stopper」字樣的簡訊給遠端伺服器進行認證。



圖 8:手機加密勒索病毒的加密方式。

幕後操縱 (C&C) 通訊。手機加密勒索病毒的 C&C 通訊也開始採用 HTTP/S、TOR 和 XMPP 通訊協定。當使用 HTTP/S 通訊時,病毒在進行加密之前會先從 C&C 伺服器取得一個加密金鑰。這對歹徒來說是個缺點,因為 C&C 伺服器很容易會被偵測並加以封鎖。歹徒使用 Tor 服務是為了隱藏自己的行蹤。



圖 9:從程式碼中可看出惡意程式採用了 TOR 作為通訊方法。

XMPP 是一種很普遍的即時通訊協定,在手機加密勒索病毒之間逐漸開始流行。使用 XMPP 可以讓 C&C 通訊更難被追蹤,因為其通訊流量會和 XMPP 正常流量混在一起。此外也更難透過監控可疑網址的方式來加以封鎖。此外,訊息內容也會透過客製化的金鑰來加密。

檔案加密以外, 還會發送簡訊和撥打歹徒指定的付費電話號碼到了 2015 年中期,許多 Android 勒索病毒都開始增加一些檔案加密以外的功能,以便能夠從受害者身上撈到更多錢。第一種手法就是發送簡訊和撥打歹徒指定的付費電話號碼。而且駭客會讓手機進入靜音模式,好讓他們能夠在使用者不知情的狀況下暗中執行這些動作。

指令代碼
COMMAND_HELLOd44m176cc2
COMMAND_SECRETd381kj69n9
COMMAND_BOT_IDl89gk44fgh
COMMAND_DECRYPT7k4f1h4jc6
COMMAND_ENCRYPT48dglg2hee
COMMAND_PASSWORDf24617n04l
COMMAND_JID_CONFIG9nn2kd26f4
COMMAND_SERVER_MESSAGES211k743l37
COMMAND_VOUCHER_MESSAGEi9ebjkn9jh
COMMAND_SMSkhm2006g53
COMMAND_CALL0bgfmc97fh

表 1:取自 Android 手機勒索病毒樣本的指令集。

不過,這些新增功能已經開始退流行,因為要撥打電話或啟動相關應用程式介面 (API) 都需要使用者提供權限,不僅可能被 Android 系統本身發現,也可能被資安軟體所偵測到 (若有安裝的話)。此外,這些惡意行為也可能被使用者發現,尤其當程式要求使用者提供一些毫不相干或可疑的權限時。



圖 10:從我們 2014 年 12 月採到的樣本程式碼片段中可看到發送簡訊與撥打電話的行為。

圖 11:發送簡訊與撥打電話的行為到了 2015 年 7 月已經被移除 (請注意程式碼中的字串)。

長期潛伏在受感染的系統或裝置。許多惡意程式都會盡可能長期潛伏在受感染的系統或裝置中以便發揮其最大作用,Android 手機勒索病毒當然也不例外。冒用系統圖示、假冒正常程式的套件,都是一些常見技巧,但我們見過最值得關注的技巧是要求取得裝置管理員權限。這項權限通常是企業應用程式才會用到,例如:BYOD 管理軟體。要解除安裝擁有裝置管理權限的應用程式,其手續既多又繁瑣,這就是為何網路犯罪集團喜歡透過裝置管理員權限來讓他們能長期潛伏在裝置當中。如果駭客再挾持了裝置的鎖定畫面以及「返回」、「主畫面」和「選單」等三個按鈕,那問題就更加麻煩。

躲避偵測技巧卻越來越精密。將程式加密編碼的技巧在過去並不普遍,但現在勒索病毒隱藏其原始程式碼的技巧卻越來越精密。許多趨勢科技分析到的惡意程式,現在都會在程式當中插入一些毫無作用的程式呼叫,並且使用加密編碼的參數。此外,組態設定同樣也會經過客製化和加密來讓惡意程式更難被分析。

圖 12:每段程式碼當中都插入了一些毫無意義的內容。



圖 13:加密過的組態設定字串。

避免成為勒索病毒搖錢樹
勒索病毒未來必將成為行動裝置平台上的常客,因為不斷增加的用戶數量對網路犯罪集團可說是難得的搖錢樹。而且,根據 2014 年第一個手機勒索病毒出現以來的情勢演變和發展來看,手機加密勒索病毒未來必定會開拓更多攻擊途徑,例如攻擊 API 的漏洞。所幸,新的 Android Oreo 作業系統已開始內建新的安全功能,尤其是 Google Play Protect 功能,它可分析應用程式是否有惡意行為 (例如將檔案加密)。此外,檔案下載程式未來也將需要事先取得權限,而且,針對每一來源,使用者都必須手動允許 Android 應用程式套件安裝才行。

隨著 Android 加密勒索病毒日益壯大且更難對付,所有企業及每位使用者都將面臨更大資料風險。請隨時修補手機作業系統並保持手機軟體更新,或者詢問您的 OEM 廠商是否已經釋出修補程式。養成良好習慣來防範手機勒索病毒,並且妥善保護您的手機,尤其是在個人自備裝置 (BYOD) 的環境中使用時更要小心謹慎。此外,應用程式開發人員及 OEM 廠商也應在自家的應用程式當中加入安全功能。

趨勢科技解決方案
一般使用者和企業可採用一套多層式的行動安全防護來保護行動裝置,例如:趨勢科技行動安全防護 for Android 。 趨勢科技企業版行動安全防護提供了裝置、法規遵循與應用程式的管理,以及資料防護和組態配置,並可防止裝置遭到漏洞攻擊,避免存取未經授權的應用程式,還有偵測並攔截惡意程式和詐騙網站。

 

原文出處:Android Mobile Ransomware: Bigger, Badder, Better? 作者:Lorin Wu (趨勢科技行動裝置威脅分析師)