警惕QQ群里“王者荣耀”外挂 可能是新型勒索病毒伪装!
关注E安全 关注网络安全一手资讯
E安全8月4日讯,Trend
Micro公司的安全研究人员们发现一种新型SLocker变种,它在Android平台上直接套用加密勒索软件WannaCry的图形用户界面。这一新型SLocker移动勒索软件变种被检测为ANDROIDOS_SLOCKER.OPSCB,它主要利用中国社交工具QQ应用程序新功能中的持久锁屏功能。
该恶意文件加密勒索软件于2017年7月被研究人员发现并分析。SLocker直接套用了WannaCry的图形用户设计界面。尽管中国警方已经逮捕了该勒索软件的创始人,但其他SLocker操作者目前仍然未被逮捕归案。
受害者主要是从QQ聊天群组当中收取到该移动恶意软件,且攻击者专门针对与高人气游戏《王者荣耀》相关的群组进行攻击。该勒索软件被伪装成一款游戏作弊工具,并使用“钱来了”或者“王者荣耀修改器”等名称。《王者荣耀》目前在中国极受欢迎,日活跃用户5000万,拥有约2亿注册用户,其中1.08亿的女性玩家,这个数字已超过阿根廷和加拿大的人口总和。如果玩家不慎安装该恶意软件,可能将导致个人重要资料全部丢失,给自身造成重大损失。
SLocker变种的样本包名为“com.android.admin.hongyan”以及“com.android.admin.huanmie”。其中的“红颜”与“幻灭”拼音常见于中国青少年人气小说当中。
图一:勒索说明截屏内容
图二:加密文件截屏。其中提到“文件已被幻灭劫持”。
SLocker新变种的其它特性
除了软件图形界面之外,新变种中还包含其它一些设计变更。可在恶意勒索软件运行之后更改设备壁纸,除此以外,这一新型SLocker病毒变体与其前身再无相似之处。与ANDROIDOS_SLOCKER.OPST不同,新版本病毒利用Android集成开发环境(简称AIDE)所构建,该程序可用于直接在Android设备上开发Android应用。值得强调的是,AIDE能够帮助勒索软件操作人员更为轻松地开发简单Android软件包(即APK),且极低的入门门槛可以吸引更多新人开发属于自己的变种版本。
实际上,图一所示的“ADDING GROUP”文本会将受害者重新定向至某QQ群组,并在这里沟通赎金支付方式,攻击者以此谋取暴利。
图三:QQ群组页面截图。
此页面题为“锁机幼稚园”,QQ群创建于2017年5月16日。说明宣称,该群组的主要功能在于教授锁机技术,且其中的源码将不断更新。在页面下方另有一个按钮,显示“申请加群”。
除此之外,另有一段“联系我们”文本,其中包含此前其它移动勒索软件所不具备的勒索声明。一经点击,受害者的QQ对话窗口即会弹出,可供其与勒索软件操作人员通信以讨论文件解密事宜。
通过浏览该疑似勒索软件操作人员的QQ个人信息页面,我们还发现其中提到要解决文件,受害者必须接听电话并根据对方的指示进行操作。
图四:受害者与勒索软件操作人员间的QQ聊天窗口。
另外,此变种还特别用到了非恶意应用程序中的合法证书,旨在避免自身被反病毒厂商列入黑名单。这些证书可以从谷歌的各Android开源项目当中免费下载。另外,其该变种还使用合法的云存储服务(bmob),勒索软件操作人员可利用其变更解密密钥。
图五:新变种的打包结构。
SLocke 变种如何加密文件
尽管显示出更为高级的设计要素,但该变种本身的加密过程并不算特别复杂。虽然该病毒的前身使用HTTP、TOR或XMPP与C&C远程服务器进行通信,新变种甚至都未使用任何C&C通信技术。
在执行时,会随意对SD卡上的所有文件类型进行加密,其中包括缓存、系统日志以及tmp文件夹等,对于移动用户相对不太重要的数据。前代版本在加密过程中会排除此类文件,而仅针对微软Office文档、视频以及图像等更加重要的文件格式。根据样本来看,该变种似乎使用AES加密算法与已经过时的DES加密算法——这再次证明其技术水平相当有限。
图六:DES加密算法当中的代码片段。
持久锁屏功能
也许是为了弥补对SD卡中所有文件进行加密的小缺陷,该新变种加入了锁屏以拒绝访问的功能。如果受害者点击赎金记录中的解密按钮,则会弹出设备管理员界面; 而只要受害者点击取消按钮,该病毒将执行持久锁屏。如果受害者直接点击激活按钮,则该变种会设置或重置设备PIN码以拒绝用户操作。
图七:设备管理员UI截屏。
图八:PIN码锁屏截图。
解决方案与建议
虽然这一变种的SLocker版本的加密过程存在一定程度的缺陷,但其引入的新功能进行持久锁屏,仍然值得QQ用户与移动游戏玩家的高度关注——勒索软件操作人员的攻击手段正变得日趋娴熟。而此新变种迅速的扩散态势亦表明,其幕后黑手并没有放缓推进脚步。
以下建议内容能够防止您的设备受该勒索软件感染 :
不要轻信软件诱惑而下载,多数勒索软件都会伪装成神器、外挂、辅助及各种刷钻、刷赞、刷人气的软件,没有任何功能,只为吸引用户中招;
仅从谷歌Play商店等合法应用商店处下载并安装应用;
请注意应用程序要求的权限,特别是允许应用程序在外部存储上获取读取/写入权限;
定期备份您的数据——可备份在其它安全设备或者云端;
安装全面反病毒解决方案。
感染指标 (简称IOCS)
E安全推荐文章
官网:www.easyaq.com
2017年8月