乌克兰某Android勒索软件分析

malwarebenchmark 2016-12-01 01:19

近来,勒索软件愈发猖獗,Android平台当然也出现了很多勒索软件,许多平台也都发布了关于勒索软件的新闻报道。为了加强对勒索软件的了解,小编这次找了一个典'...

近来,勒索软件愈发猖獗,Android平台当然也出现了很多勒索软件,许多平台也都发布了关于勒索软件的新闻报道。为了加强对勒索软件的了解,小编这次找了一个典型的Simplocker类型的勒索软件来进行分析,希望能够有所启发。

首先是样本的一些基本信息:

样本名称:Sex xonix.apk

MD5:fd694cf5ca1dd4967ad6e8c67241114c

SHA1:808df267f38e095492ebd8aeb4b56671061b2f72

大小:4917678bytes

正如所看到的,勒索软件一般都较小,因为并不需要十分复杂的功能,据说网上有些QQ群会教人开发、使用Android勒索软件,50一人,包教包会。而从名字可以看出来,这个勒索软件应该是伪装成色情应用的,正是利用了用户的某些心理才获得利益的。

值得注意的是,这个样本是加过壳的,直接通过apktool或者AndroidKiller逆向是无能为力的,需要通过其他手段打开。反汇编之后得到的部分重要权限列表如下:

android.permission.INTERNET(完全的网络权限)

android.permission.SYSTEM_ALERT_WINDOW(允许窗口显示在所有程序顶层!!勒索软件的重要权限就是这个!)

android.permission.GET_TASK(获取手机的任务状态)

android.permission.CAMERA(使用相机的权限)

android.permission.READ_PHONE_STATE(读取手机状态)

android.permission.WRITE_EXTERNAL_STORAGE(写存储卡,注意有些勒索软件是锁定了用户数据的)

android.permission.READ_CONTACTS(读取联系人)

对这个应用有大概了解后,我们通过代码来了解一下这个样本。首先给大家展示一下所谓勒索软件的功力。安装完成之后,手机会显示如下界面:

可以看到,整个手机屏幕都被占据了,此时按后退键是没有用的,就算按home键回到主菜单或者在后台程序中关闭此应用,大约两三秒后又会自动弹出,如果打开其他软件,那就自动弹出这个界面了。

当然,这个勒索软件在说什么,我是一个字都看不懂的了,看起来像是俄语,据查,此系列软件多产自乌克兰,那估计是乌克兰语了吧。

小编发挥脑洞猜测一下,大概是这个意思:

1. 你的手机已经被我控制了

2. 想要解除控制就给我打钱吧

3. 把钱打到380982049193这个账户上

4. 需要260乌克兰赫夫米(乌克兰货币单位),少一分就撕票!

嗯,大概就这么个意思吧,不乱发挥了,下面我们还是看代码吧~

首先看到代码结构如下:

可以看到,正如上面所说的,主要代码在org.simplelocker包下,顾名思义,这就是个“简单的锁屏”。可是并不是这么简单,除了锁屏以外,这个勒索软件还会给用户的文件加密,加密的类型列表如下:

可以看到,图片、文本文件、视频文件都是这个勒索软件的加密对象。而这个软件是如何加密的呢?代码如下:

此软件会把SD卡中的上述类型的文件,通过AES加密,AES是一种对称加密算法,而加密密码是定义好的常量,可见,如果有一定的逆向能力,应该还是能够把被加密的文件解密出来的。

从上面的软件界面可以看到,这个样本并没有一个输入解密密码的地方,这和我们印象中“国产的”勒索软件不一样,一般国内可能会让用户加某个QQ号,交过钱后告诉受害用户密码才能解锁。但这种方式可能会暴露“黑客”(当然,做这么low的事情,小编其实并不想称他们为黑客)的个人信息。那么这个样本是如何解锁的呢?

可以看到,是由一个网址发送来的包中有stop,才停止了勒索的工作。而同时,用户的许多个人信息,如手机的IMEI等也发送了出去。这个网址是什么呢?可以看到这个常量ADMIN_URL如下:

这是一个匿名网络,本意是保护互联网用户的隐私,现在却被不怀好意者滥用。

说了这么多,还没有说勒索者是怎么做到始终“霸占”屏幕的呢。对于勒索软件来说,把手机“变砖”的方式有很多,而本例中是通过后台service不断检测是否在桌面显示了该应用的界面,如果不是就通过intent唤醒,把这个讨人厌的Activity展示出来,部分代码如下:

以上就是对于Simplocker类的勒索软件的一点简单分析了,想防范这种恶意软件,最好的方式就是不要上一些奇奇怪怪的网站、不要下载一些奇奇怪怪的应用了。

当然,如果你不幸中招,可以尝试进入安全模式卸载应用,如果不行,估计刷机就是最好的选择了。

最后,小编认为,一定不能给这些软件发布者打钱,不能让他们如愿,不然会助长他们的气焰,助长整个黑色产业链的生长!

最新文章
猜你喜欢