中国黑客业务团队承接一切网站入侵业务,服务器入侵业务,文件加密,文件解密,办公系统入侵,电脑远程控制等业务
联系我们:
技术支持
技术支持








勒索软件正成为制马人的新方向

2016年5月13日
目    录
引言.. 1
第一章木马分析.. 2
一、木马样本分析.. 2
二、短信链接分析.. 3
第二章制马人分析.. 7
一、制马人行为分析.. 7
二、制马人信息.. 13
第三章影响与趋势.. 15
一、关联样本.. 15
二、收益情况.. 15
三、裂变式传播.. 16
四、交叉式传播.. 17
附录一:参考资料.. 18
引言
4月份360 移动安全团队发布的《Android勒索软件研究报告》详细揭露了目前国内Android勒索软件黑色产业链情况。其中,报告中指出国内勒索软件传播方式主要借助QQ群、受害者、贴吧和网盘。另外,报告也指出国内勒索软件的制作门槛低,制作人群呈现年轻化等特点。
    我们在最近的研究分析中发现,勒索软件的恶意行为出现了新的变化趋势,开始出现交叉式传播。勒索软件通过遍历手机通讯录,向联系人群发带有恶意下载链接的短信的方式进行恶意软件的传播。传播的对象不仅是恶意软件自身,还有其他家族木马,如:专门通过窃取手机支付验证码及其它用户手机重要隐私信息,以达到洗劫用户资金目的的FakeTaobao[1]木马家族。
据我们所知,借助短信方式传播的Android木马家族SpamSoldier[2]最早出现在2012年12月,在2014年8月全国范围内爆发的“XX神器”事件[3]中被媒体和网民广泛的关注。目前为止,FakeTaobao木马家族是使用这种裂变式传播方式最活跃的木马家族。
    我们通过恶意软件中制马人留下的信息,回溯了其长达半年之久的制马活动后发现,勒索软件传播出现的裂变式传播和交叉传播新趋势,正是由于制马人制马类型不再单一,正在变得多元化,而勒索软件正在成为制马人制马的新方向。
第一章木马分析
一、木马样本分析
经过我们对最新捕获的勒索软件的分析,该木马的运行流程如下图所示:

图1.1 木马运行流程
木马具体执行步骤:
1.木马运行后,启动恶意服务binge。
2.服务启动后,向手机号151****3857发送安装报活短信,短信内容“报告斌哥,软件已安装,已授权”。
3.遍历手机通讯录向手机中所有联系人发送带有恶意下载链接的短信,短信内容“{联系人姓名},我帮别人做宣传。点击链接并下载并安装****flaw,一定要下载安装哦,不下载安装对不起我哟!”。
4.构造并展现锁屏悬浮窗页面,不响应触摸事件。
5.隐藏自身图标。
我们在分析中发现,样本中涉及到敏感的字符串全部进行了DES加密处理。

图1.2 木马遍历联系人群发短信的代码片段

图1.3密文与明文对应关系
二、短信链接分析
短信中的链接指向****flaw,Pre.im是一个免费的内测分发、应用托管工具网站,可以用于软件BUG测试和兼容性测试。制马人利用这种第三方网站提供的下载功能,上传恶意样本进行传播。

图1.4 Pre.im官网介绍
       通过浏览器打开短信中的链接显示一个名为“秒赞神器”软件。实际上,经过分析这个“秒赞神器”软件是一个典型的设置PIN码类型的勒索软件,软件运行后会在用户不知情的情况下强制设置手机解锁PIN码,造成用户无法进入手机桌面。

图1.5 木马下载页面
在“秒赞神器”申请激活设备管理器页面上,制马人留下了自己的QQ联系方式。

图1.6 木马申请设备管理器页面
同时,在木马签名信息中也发现了同样的QQ号码。

图1.7 木马签名信息
第二章制马人分析
一、制马人行为分析
我们通过恶意软件中制马人留下手机号和QQ信息,将其制作的恶意样本与我们捕获到的时间进行关联,回溯了制马人长达半年之久的制马活动。



图2.1 制马人半年的制马活动轨迹
从捕获时间看,包含制马人联系方式的恶意样本首次出现在2015年11月3日,软件名称为“system”。

[1] [2] [3]  下一页