安卓勒索软件分析

00

前言

2019 年 7 月 31 日，安全公司 ESET 的研究员 Lukas Stefanko 检测到一种针对 Android 用户的新型勒索软件 Filecoder.C。 该病毒首先出现在 Reddit 和 Android 开发者论坛 XDA Developer 上。 通过受害者手机大量传播。 截至目前，约有230万人被确认“被获取”，有趣的是，即使受害人乖乖地支付了数百美元的“赎金”，文件依然无法找回。

这让我们反思两个现象：

➣ 大部分人在“成功”之后，往往因为缺乏足够的应对经验和技术而手足无措，不知所措。 一番激烈的思想博弈后，他率先认输，承认自己运气不好，乖乖交了钱。 不说助长了黑客的气焰，说不定还会出现“即使有钥匙，手机也无法恢复”的现象。

➣ 移动端安全防护较PC端差，暴露的攻击面更多。 同时，大部分用户对手机APP的攻击技术了解不够，从侧面增加了黑客攻击的成功率。

由此可以得出两个结论：

➣ 移动终端安全威胁将进一步加大，以勒索病毒为代表的恶意软件将进一步进入手机市场。

➣ 目前移动终端市场缺乏一款性能优越的反勒索软件。

01

移动市场的勒索软件格局

以360安全中心2017年统计数据为例，2017年1-9月，平均每月抓获手机勒索病毒5.5万余件。 其中，手机勒索软件在1-5月呈波动增长态势。 6月，网警在芜湖、安阳抓获勒索病毒制造者陈某和主要传播者金某。 破获全国首例手机勒索软件案。 此后，新增数量急剧下降，对手机勒索病毒制作者产生了一定的震慑作用。

点击添加图片描述（最多60字）

2018年新增恶意软件434.2万个，平均每天新增约1.2万个。 总体趋势“初高后低”，勒索病毒数量较2017年有明显增加。从移动威胁趋势来看，5G时代的到来将进一步冲击安全移动终端环境。 如何减少攻击面，提高手机内部安全性将成为研究热点。

点击添加图片描述（最多60字）

02

Android 勒索软件的工作原理

手机勒索病毒通常会伪装成一些系统功能组件，或者一些特殊功能的APP（如色情软件、游戏外挂、破解版普通应用等），诱骗用户安装。 勒索软件通常分为两种类型：屏幕锁定和文件加密。 勒索软件在请求一些系统权限后锁定用户设备或加密文件，并勒索他们。 勒索恶意软件的目的通常非常明确，只为非法牟利，不法分子不会考虑用户的数据安全和隐私。

由此可知，勒索病毒运行成功的重要前提是获得管理员权限。

点击添加图片描述（最多60字）

点击添加图片描述（最多60字）

设备管理员是一个非常危险的权限。 设计之初，该功能是供厂商开发手机防盗功能的接口。 用户只要安装此类APP并点击激活，该APP就会拥有设备管理员权限，并拥有以下一项或多项权限：

加密存储 禁用相机 禁用锁屏 相关功能 强制密码过期 锁屏 限制可用密码类型 重置密码 监控正确或错误的密码输入 擦除数据

一旦用户在不知道权限具体作用的情况下赋予勒索软件超级权限，黑客就可以随意锁定用户手机、重置密码等。

锁屏勒索软件：

该类勒索软件会在Android目录下的manifest.xml中注册一个BoardcastReceiver，并在meta-data中额外添加一个device_admin.xml声明要使用的管理员权限。

届时，只要用户点击这个勒索软件，就会不断弹窗询问用户是否同意，直到用户同意弹窗才会停止。

点击添加图片描述（最多60字）

一旦用户授予权限后，如果想停用，只能在设置->安全->设备管理应用中手动停用，但此时为时已晚，勒索软件可以重置用户密码通过 resetPassword 方法。 锁屏密码。

附加信息：

在Android N(7.x)中，DevicePolicyManager.resetPassword方法只能为没有密码的机器设置初始密码，不能重置或清除已有密码，所以老版本的恶意应用无法在有密码的机器上使用。 设置密码的方法。

当App targetsdk版本为Android O(8.x)及以上时，API会直接抛出SecurityException，恶意app会选择较低的targets SDK版本进行规避。

文件加密勒索软件：

该病毒类似于“永恒之蓝”事件爆发时爆发的wannacry勒索病毒。 以比特币形式勒索用户支付赎金，规避现金交易风险。 首先，软件会要求用户开启辅助点击服务。 跳转到激活设备管理器页面，模拟点击激活设备管理器。 以上操作只是为了增强自身的生存能力，进而加密文件，跳出勒索界面，要求用户支付赎金。

如果数据经过加密并使用非对称加密算法，或者密钥是随机生成并上传到作者的服务器，数据恢复的机会就变得非常渺茫。

以下代码生成一个随机密码并上传到作者的服务器：

点击添加图片描述（最多60字）

以下代码实现了对用户文件的加密或解密：

点击添加图片描述（最多60字）

03

安卓勒索软件样本分析

首先，从网上下载一个公开的勒索病毒样本比特币辅助交易软件，丢进模拟器安装，就会看到如下场景。

点击添加图片描述（最多60字）

可以看出，该勒索软件在安装时会向用户索取大量敏感权限。 用户如果防范意识不强，往往会被极具诱惑力的名字误导安装。

接下来，我们点击允许比特币辅助交易软件，等待几秒后重启模拟器，一个丑陋的页面映入眼帘。 . . .

点击添加图片描述（最多60字）

看来是被勒索了，这证明勒索病毒运行正常，那么我们来逆向APK，先用apktool反编译样本apk。

接下来查看Manifest.xml文件，可以看到允许应用获取很多敏感权限，比如：写入文件到SD卡，允许应用修改全局音频设置，允许应用获取手机的全局状态，允许访问振动设备，允许程序打开窗口等。

接下来进入主程序，可以看到里面写了多种方式，比如DES、MD5等，轮流调用，而且可能加密不止一次。

点击添加图片描述（最多60字）

点击添加图片描述（最多60字）

以上就是勒索软件的工作原理。 有些勒索软件简单粗暴，不加任何包装就直接分发。 主要针对那些安全意识薄弱的群体。 一些勒索软件隐藏在正常的APK中或者已经被打包。 一般情况下，用户在使用时是看不出来是有问题的软件。 直到勒索软件的加密功能被触发，本地文件才会被加密。 此类勒索病毒往往会招募具有一定安全意识的群体。 一开始他们会很谨慎，等他们放松警惕后，勒索病毒就会开始攻击。

04

安卓勒索软件是如何传播的

目前，社交网络已成为勒索病毒的主要传播渠道，其中QQ和QQ群已成为大多数攻击者联系受害者的唯一途径。

点击添加图片描述（最多60字）

通过对勒索软件预留的QQ号和QQ群的分析，我们发现大多数勒索信息中同时出现了QQ号和QQ群号。 在类似页面布局的勒索页面中，仅改变了QQ号，QQ群号基本保持不变。

点击添加图片描述（最多60字）

进入一些储物柜QQ群后，发现群里有人上传了一些储物柜源码、测试视频、视频教程、软件源码和制作工具等文件，并分享给其他人。 此外，还有一个“一键生成木马”工具。 这种一键式生成器操作简单，无需编程知识即可生成各种类型的手机恶意软件。 由于使用门槛低，勒索软件的数量和类型不断增长和变化。

因此切记不要随意安装非正规应用商店的软件，也不要轻易转账或提交个人信息。 同时注意app需要的权限，不要随意授予与app功能无关的权限。

05

Android 勒索软件防御方法

1、提高个人安全意识，拒绝一切来路不明的软件安装包，只到正规商店下载正版软件。

2、不要随意点击不明链接或扫描不知所措的二维码，尽量防止恶意软件进入手机。

3、仔细查看软件安装时请求的权限信息，因为运行勒索软件的前提是获得访问手机文件的权限，所以要特别注意请求该权限的APP。

4、定期检查手机，扫描是否存在潜在的木马或恶意程序。