查看原文
其他

警惕QQ群里“王者荣耀”外挂 可能是新型勒索病毒伪装!

2017-08-04 E安全编辑部 E安全

关注E安全 关注网络安全一手资讯

E安全8月4日讯,Trend Micro公司的安全研究人员们发现一种新型SLocker变种,它在Android平台上直接套用加密勒索软件WannaCry的图形用户界面。这一新型SLocker移动勒索软件变种被检测为ANDROIDOS_SLOCKER.OPSCB,它主要利用中国社交工具QQ应用程序新功能中的持久锁屏功能。

该恶意文件加密勒索软件于2017年7月被研究人员发现并分析。SLocker直接套用了WannaCry的图形用户设计界面。尽管中国警方已经逮捕了该勒索软件的创始人,但其他SLocker操作者目前仍然未被逮捕归案。


受害者主要是从QQ聊天群组当中收取到该移动恶意软件,且攻击者专门针对与高人气游戏《王者荣耀》相关的群组进行攻击。该勒索软件被伪装成一款游戏作弊工具,并使用“钱来了”或者“王者荣耀修改器”等名称。《王者荣耀》目前在中国极受欢迎,日活跃用户5000万,拥有约2亿注册用户,其中1.08亿的女性玩家,这个数字已超过阿根廷和加拿大的人口总和。如果玩家不慎安装该恶意软件,可能将导致个人重要资料全部丢失,给自身造成重大损失。

SLocker变种的样本包名为“com.android.admin.hongyan”以及“com.android.admin.huanmie”。其中的“红颜”与“幻灭”拼音常见于中国青少年人气小说当中。

图一:勒索说明截屏内容

图二:加密文件截屏。其中提到“文件已被幻灭劫持”。

SLocker新变种的其它特性


除了软件图形界面之外,新变种中还包含其它一些设计变更。可在恶意勒索软件运行之后更改设备壁纸,除此以外,这一新型SLocker病毒变体与其前身再无相似之处。与ANDROIDOS_SLOCKER.OPST不同,新版本病毒利用Android集成开发环境(简称AIDE)所构建,该程序可用于直接在Android设备上开发Android应用。值得强调的是,AIDE能够帮助勒索软件操作人员更为轻松地开发简单Android软件包(即APK),且极低的入门门槛可以吸引更多新人开发属于自己的变种版本。

实际上,图一所示的“ADDING GROUP”文本会将受害者重新定向至某QQ群组,并在这里沟通赎金支付方式,攻击者以此谋取暴利。

图三:QQ群组页面截图。

此页面题为“锁机幼稚园”,QQ群创建于2017年5月16日。说明宣称,该群组的主要功能在于教授锁机技术,且其中的源码将不断更新。在页面下方另有一个按钮,显示“申请加群”。

除此之外,另有一段“联系我们”文本,其中包含此前其它移动勒索软件所不具备的勒索声明。一经点击,受害者的QQ对话窗口即会弹出,可供其与勒索软件操作人员通信以讨论文件解密事宜。

通过浏览该疑似勒索软件操作人员的QQ个人信息页面,我们还发现其中提到要解决文件,受害者必须接听电话并根据对方的指示进行操作。

图四:受害者与勒索软件操作人员间的QQ聊天窗口。

另外,此变种还特别用到了非恶意应用程序中的合法证书,旨在避免自身被反病毒厂商列入黑名单。这些证书可以从谷歌的各Android开源项目当中免费下载。另外,其该变种还使用合法的云存储服务(bmob),勒索软件操作人员可利用其变更解密密钥。

图五:新变种的打包结构。

SLocke 变种如何加密文件


尽管显示出更为高级的设计要素,但该变种本身的加密过程并不算特别复杂。虽然该病毒的前身使用HTTP、TOR或XMPP与C&C远程服务器进行通信,新变种甚至都未使用任何C&C通信技术。

在执行时,会随意对SD卡上的所有文件类型进行加密,其中包括缓存、系统日志以及tmp文件夹等,对于移动用户相对不太重要的数据。前代版本在加密过程中会排除此类文件,而仅针对微软Office文档、视频以及图像等更加重要的文件格式。根据样本来看,该变种似乎使用AES加密算法与已经过时的DES加密算法——这再次证明其技术水平相当有限。

图六:DES加密算法当中的代码片段。

持久锁屏功能


也许是为了弥补对SD卡中所有文件进行加密的小缺陷,该新变种加入了锁屏以拒绝访问的功能。如果受害者点击赎金记录中的解密按钮,则会弹出设备管理员界面; 而只要受害者点击取消按钮,该病毒将执行持久锁屏。如果受害者直接点击激活按钮,则该变种会设置或重置设备PIN码以拒绝用户操作。

图七:设备管理员UI截屏。

图八:PIN码锁屏截图。

解决方案与建议


虽然这一变种的SLocker版本的加密过程存在一定程度的缺陷,但其引入的新功能进行持久锁屏,仍然值得QQ用户与移动游戏玩家的高度关注——勒索软件操作人员的攻击手段正变得日趋娴熟。而此新变种迅速的扩散态势亦表明,其幕后黑手并没有放缓推进脚步。

以下建议内容能够防止您的设备受该勒索软件感染 :

  • 不要轻信软件诱惑而下载,多数勒索软件都会伪装成神器、外挂、辅助及各种刷钻、刷赞、刷人气的软件,没有任何功能,只为吸引用户中招;

  • 仅从谷歌Play商店等合法应用商店处下载并安装应用;

  • 请注意应用程序要求的权限,特别是允许应用程序在外部存储上获取读取/写入权限;

  • 定期备份您的数据——可备份在其它安全设备或者云端;

  • 安装全面反病毒解决方案。

感染指标 (简称IOCS)




04
E安全推荐文章

官网:www.easyaq.com

2017年8月

01山寨版WannaCry在乌克兰浮出水面
02WannaCry还能攻击关键基础设施,如何预防?
03NSA EsteemAudit工具或会触发WannaCry般的攻击
04黄道丽:以WannaCry勒索攻击事件为例分析《网络安全法》有效性度量
05早在WannaCry之前 至少存在3个组织利用永恒之蓝发起攻击
06比WannaCry还厉害的Adylkuzz挖矿僵尸网络是怎么被发现的?
07美军方竟存在被WannaCry勒索病毒感染的电脑 原因成谜

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存