ESET新發現了一款用通訊錄發送惡意簡訊的Android勒索軟體

新聞 08-07

最近ESET研究人員發現了一個新的Android勒索軟體家族，它們試圖通過向受害者的手機的聯繫人列表發送惡意簡訊繼續傳播。

在Android勒索軟體遭遇兩年的衰退之後，一個新的Android勒索軟體家族又出現了。目前，該家族已經被ESET Mobile Security檢測到，並被定義為Android / Filecoder.C。目前該勒索軟體正在通過各種在線論壇進行傳播。藉助受害者的聯繫人列表，然後將帶有惡意鏈接的簡訊進一步傳播。由於目標範圍狹窄，並且在執行過程中存在缺陷，這種新的勒索軟體的攻擊力還是有限的。但是，如果幕後的開發者開始定位更廣泛的用戶群，Android / Filecoder.C勒索軟體可能會成為一個嚴重的威脅。

通過長期以來的跟蹤，Android/Filecoder.C自2019年7月12日起一直處於活躍狀態。在我們發現的活動中，Android / Filecoder.C已經通過Reddit上的惡意帖子和「XDA Developers」論壇（Android開發者論壇）進行了大量傳播。不過很快，我們就向XDA Developers和Reddit報告了此惡意活動。截止發稿，XDA DEVELOPERS論壇上的帖子被迅速刪除，不過目前惡意Reddit配置文件在發布時仍處於運行狀態。

Android/Filecoder.C通過帶有惡意鏈接的簡訊進一步傳播，這些鏈接被發送給受害者聯繫人列表中的所有聯繫人。

在勒索軟體發出這些惡意簡訊之後，它會加密設備上的大多數用戶文件，並要求受害者支付贖金。

使用ESET Mobile Security的用戶會收到有關惡意鏈接的警告，如果用戶執意忽略警告並繼續下載應用程序，安全解決方案將強行阻止惡意軟體的運行。

惡意攻擊的統計

我們發現的廣告系列基於兩個域（請參閱下面的IoC部分），由攻擊者控制，其中包含用於下載的惡意Android文件。攻擊者通過發布或評論Reddit（圖1）或XDA DEVELOPERS（圖2）來吸引潛在受害者點擊這些域。

大多數情況下，帖子的主題與色情有關。除此之外，我們也看到了用技術主題作誘餌的帖子。在所有評論或帖子中，都包含指向惡意應用程序的鏈接或QR代碼。

攻擊者的Reddit配置文件，包含惡意帖子和評論

攻擊者在XDA DEVELOPERS論壇上發布的一些惡意帖子

在Reddit上共享的一個鏈接中，攻擊者使用了短網址bit.ly。經調查這個bit.ly URL是在2019年6月11日創建的，其統計數據如下圖所示，截至撰寫本文時，來自不同來源和國家的點擊量已達到59次。

勒索軟體活動期間在Reddit上共享的bit.ly鏈接的統計信息

傳播過程

如前所述，Android/Filecoder.C勒索軟體通過簡訊將鏈接傳播到受害者聯繫人列表中的所有目錄。

這些消息包括勒索軟體的鏈接，為了增加潛在受害者的點擊概率，這個鏈接被顯示為一個應用程序的鏈接，且該應用程序可能使用潛在受害者的照片，如下圖所示。

為了擴展其攻擊範圍，勒索軟體有42種語言版本的消息模板，如圖5所示。在發送消息之前，它選擇適合受害者設備的語言設置的版本。為了個性化這些消息，惡意軟體會將聯繫人的姓名添加到這些消息之前，以顯得真實，增加迷惑性。

帶有勒索軟體鏈接的簡訊，如果發送設備將語言設置為英語，則發送此切換到英文

勒索軟體中硬編碼了42種語言版本

惡意功能

一旦潛在受害者收到帶有惡意應用程序鏈接的簡訊，他們需要手動安裝它。應用程序啟動後，它將顯示傳播它的帖子中承諾的內容。通常，它是一個在線性愛模擬遊戲。然而，其主要目的是C＆C通信，傳播惡意消息和實施加密或解密機制。

對於C＆C通信，惡意軟體的源代碼中包含硬編碼的C＆C和比特幣地址。但是，它也可以動態檢索它們：攻擊者可以使用免費的Pastebin服務隨時更改它們。

Pastebin是一個便簽類站點，用戶可以在該平台任意儲存純文本，例如代碼，文字等內容。Pastebin支持的編程語言種類也非常齊全，還會自動判斷語言類型並高亮顯示代碼內容。除了直接在網頁內操作外，Pastebin 最大的特色是提供了許多相關工具和應用，包括 Windows、Mac、UNIX、Firefox、Chrome、Opera、iPhone/iPad、Android、WinPhone 以及 WebOS 等等，讓使用者隨時隨地都能夠存取使用。但從安全分析和威脅情報的角度來看，Pastebin卻是一個信息收集的寶庫。特別是那些上傳到pastebin卻未明確設置為private（需要一個賬戶）的內容，將會被所有人公開查閱。

勒索軟體檢索C＆C地址的一組地址的示例

由於可以訪問用戶的聯繫人列表，勒索軟體具有發送文本消息的能力。在加密文件之前，它使用上面描述的傳播技術向每個受害者的聯繫人發送一條消息。

接下來，勒索軟體會遍歷可訪問存儲上的文件(即除了系統文件所在位置外的所有設備存儲部分) ，並對其中大部分進行加密(具體解釋，請參閱下面的「文件加密機制」一節)。文件加密後，勒索軟體會顯示其勒索信息（英文），如下圖示。

Android/Filecoder.C顯示的勒索信息

不過，正如贖金說明中所述，如果受害者刪除了這個應用程序，則勒索軟體將無法解密文件。此外，根據我們的分析，勒索軟體的代碼中沒有任何內容支持聲稱受影響的數據將在72小時後丟失。

如下圖所示，請求的贖金部分是動態變化的。將要請求的比特幣數量的第一部分是硬編碼的，值為0.01，而剩餘的六位數是惡意軟體生成的用戶ID。

這種獨特的做法可能有助於識別收到的贖金金額，因為在Android勒索軟體中，這通常是通過為每個加密設備生成一個單獨的比特幣錢包來實現的。根據最近每比特幣的價格，贖金將落在94-188美元之間（假設唯一ID是隨機生成的）。

惡意軟體如何計算贖金

與典型的Android勒索軟體不同，Android / Filecoder.C不會通過鎖定屏幕來阻止設備的使用。

如下圖所示，在撰寫本文時，所提到的比特幣地址可以動態改變，但在我們看到的所有樣本中，地址都是不變的，沒有記錄任何交易。

攻擊者使用的比特幣地址

文件加密機制

勒索軟體使用的是非對稱和對稱加密，首先，它會生成一個公鑰和私鑰對。此私鑰使用RSA演算法加密，其中硬編碼的公鑰存儲在代碼中並發送到攻擊者的伺服器。攻擊者可以解密該私鑰，並在受害者支付贖金後，將該私鑰發送給受害者以解密他們被加密的文件。

加密文件時，勒索軟體會為每個要加密的文件生成一個新的AES密鑰。然後使用公鑰對此AES密鑰進行加密，並將其添加到每個加密文件中，從而生成以下模式：( (AES)public_key (File)AES ).seven。

文件結構如下圖所示：

加密文件結構概述

勒索軟體通過訪問可訪問的存儲目錄來加密以下文件類型：

「.doc」, 「.docx」, 「.xls」, 「.xlsx」, 「.ppt」, 「.pptx」, 「.pst」, 「.ost」, 「.msg」, 「.eml」, 「.vsd」, 「.vsdx」, 「.txt」, 「.csv」, 「.rtf」, 「.123」, 「.wks」, 「.wk1」, 「.pdf」, 「.dwg」, 「.onetoc2」, 「.snt」, 「.jpeg」, 「.jpg」, 「.docb」, 「.docm」, 「.dot」, 「.dotm」, 「.dotx」, 「.xlsm」, 「.xlsb」, 「.xlw」, 「.xlt」, 「.xlm」, 「.xlc」, 「.xltx」, 「.xltm」, 「.pptm」, 「.pot」, 「.pps」, 「.ppsm」, 「.ppsx」, 「.ppam」, 「.potx」, 「.potm」, 「.edb」, 「.hwp」, 「.602」, 「.sxi」, 「.sti」, 「.sldx」, 「.sldm」, 「.sldm」, 「.vdi」, 「.vmdk」, 「.vmx」, 「.gpg」, 「.aes」, 「.ARC」, 「.PAQ」, 「.bz2」, 「.tbk」, 「.bak」, 「.tar」, 「.tgz」, 「.gz」, 「.7z」, 「.rar」, 「.zip」, 「.backup」, 「.iso」, 「.vcd」, 「.bmp」, 「.png」, 「.gif」, 「.raw」, 「.cgm」, 「.tif」, 「.tiff」, 「.nef」, 「.psd」, 「.ai」, 「.svg」, 「.djvu」, 「.m4u」, 「.m3u」, 「.mid」, 「.wma」, 「.flv」, 「.3g2」, 「.mkv」, 「.3gp」, 「.mp4」, 「.mov」, 「.avi」, 「.asf」, 「.mpeg」, 「.vob」, 「.mpg」, 「.wmv」, 「.fla」, 「.swf」, 「.wav」, 「.mp3」, 「.sh」, 「.class」, 「.jar」, 「.java」, 「.rb」, 「.asp」, 「.php」, 「.jsp」, 「.brd」, 「.sch」, 「.dch」, 「.dip」, 「.pl」, 「.vb」, 「.vbs」, 「.ps1」, 「.bat」, 「.cmd」, 「.js」, 「.asm」, 「.h」, 「.pas」, 「.cpp」, 「.c」, 「.cs」, 「.suo」, 「.sln」, 「.ldf」, 「.mdf」, 「.ibd」, 「.myi」, 「.myd」, 「.frm」, 「.odb」, 「.dbf」, 「.db」, 「.mdb」, 「.accdb」, 「.sql」, 「.sqlitedb」, 「.sqlite3」, 「.asc」, 「.lay6」, 「.lay」, 「.mml」, 「.sxm」, 「.otg」, 「.odg」, 「.uop」, 「.std」, 「.sxd」, 「.otp」, 「.odp」, 「.wb2」, 「.slk」, 「.dif」, 「.stc」, 「.sxc」, 「.ots」, 「.ods」, 「.3dm」, 「.max」, 「.3ds」, 「.uot」, 「.stw」, 「.sxw」, 「.ott」, 「.odt」, 「.pem」, 「.p12」, 「.csr」, 「.crt」, 「.key」, 「.pfx」, 「.der」

但是，它不會加密包含字元串「.cache」，「tmp」或「temp」的目錄中的文件。

如果文件擴展名為「.zip」或「.rar」且文件大小超過51200 KB 或者50 MB，勒索軟體也不加密這些文件。另外小於150 KB的「.jpeg」，「.jpg」和「.png」文件也不會成為加密對象。

文件類型列表包含一些與Android無關的目錄，同時缺少一些典型的Android擴展，如.apk、.dex等。顯然，該列表是從臭名昭著的WannaCry勒索軟體中複製而來的。

文件加密後，文件擴展名「.seven」將附加到原始文件名後，如下圖所示。