新闻快讯
< >

新型WannaCry:伪装成“王者荣耀”外挂,利用QQ群传播

E安全8月4日讯,Trend Micro公司的安全研究人员们发现一种新型SLocker变种,它在Android平台上直接套用加密勒索软件WannaCry的图形用户界面。这一新型SLocker移动勒索软件变种被检测为ANDROIDOS_SLOCKER.OPSCB,它主要利用中国社交工具QQ应用程序新功能中的持久锁屏功能。

该恶意文件加密勒索软件于2017年7月被研究人员发现并分析。SLocker直接套用了WannaCry的图形用户设计界面。尽管中国警方已经逮捕了该勒索软件的创始人,但其他SLocker操作者目前仍然未被逮捕归案。

1.jpg

受害者主要是从QQ聊天群组当中收取到该移动恶意软件,且攻击者专门针对与高人气游戏《王者荣耀》相关的群组进行攻击。该勒索软件被伪装成一款游戏作弊工具,并使用“钱来了”或者“王者荣耀修改器”等名称。《王者荣耀》目前在中国极受欢迎,日活跃用户5000万,拥有约2亿注册用户,其中1.08亿的女性玩家,这个数字已超过阿根廷和加拿大的人口总和。如果玩家不慎安装该恶意软件,可能将导致个人重要资料全部丢失,给自身造成重大损失。

SLocker变种的样本包名为“com.android.admin.hongyan”以及“com.android.admin.huanmie”。其中的“红颜”与“幻灭”拼音常见于中国青少年人气小说当中。

新型WannaCry-新型移动加密勒索病毒-E安全

图一:勒索说明截屏内容

新型WannaCry-新型移动加密勒索病毒-E安全

图二:加密文件截屏。其中提到“文件已被幻灭劫持”。


SLocker新变种的其它特性

除了软件图形界面之外,新变种中还包含其它一些设计变更。可在恶意勒索软件运行之后更改设备壁纸,除此以外,这一新型SLocker病毒变体与其前身再无相似之处。与ANDROIDOS_SLOCKER.OPST不同,新版本病毒利用Android集成开发环境(简称AIDE)所构建,该程序可用于直接在Android设备上开发Android应用。值得强调的是,AIDE能够帮助勒索软件操作人员更为轻松地开发简单Android软件包(即APK),且极低的入门门槛可以吸引更多新人开发属于自己的变种版本。

实际上,图一所示的“ADDING GROUP”文本会将受害者重新定向至某QQ群组,并在这里沟通赎金支付方式,攻击者以此谋取暴利。

新型WannaCry-新型移动加密勒索病毒-E安全

图三:QQ群组页面截图。

此页面题为“锁机幼稚园”,QQ群创建于2017年5月16日。说明宣称,该群组的主要功能在于教授锁机技术,且其中的源码将不断更新。在页面下方另有一个按钮,显示“申请加群”。

除此之外,另有一段“联系我们”文本,其中包含此前其它移动勒索软件所不具备的勒索声明。一经点击,受害者的QQ对话窗口即会弹出,可供其与勒索软件操作人员通信以讨论文件解密事宜。

通过浏览该疑似勒索软件操作人员的QQ个人信息页面,我们还发现其中提到要解决文件,受害者必须接听电话并根据对方的指示进行操作。

1.jpg

图四:受害者与勒索软件操作人员间的QQ聊天窗口。

另外,此变种还特别用到了非恶意应用程序中的合法证书,旨在避免自身被反病毒厂商列入黑名单。这些证书可以从谷歌的各Android开源项目当中免费下载。另外,其该变种还使用合法的云存储服务(bmob),勒索软件操作人员可利用其变更解密密钥。

1.jpg

图五:新变种的打包结构。

SLocke 变种如何加密文件

尽管显示出更为高级的设计要素,但该变种本身的加密过程并不算特别复杂。虽然该病毒的前身使用HTTP、TOR或XMPP与C&C远程服务器进行通信,新变种甚至都未使用任何C&C通信技术。

在执行时,会随意对SD卡上的所有文件类型进行加密,其中包括缓存、系统日志以及tmp文件夹等,对于移动用户相对不太重要的数据。前代版本在加密过程中会排除此类文件,而仅针对微软Office文档、视频以及图像等更加重要的文件格式。根据样本来看,该变种似乎使用AES加密算法与已经过时的DES加密算法——这再次证明其技术水平相当有限。

1.jpg

图六:DES加密算法当中的代码片段。


持久锁屏功能

也许是为了弥补对SD卡中所有文件进行加密的小缺陷,该新变种加入了锁屏以拒绝访问的功能。如果受害者点击赎金记录中的解密按钮,则会弹出设备管理员界面; 而只要受害者点击取消按钮,该病毒将执行持久锁屏。如果受害者直接点击激活按钮,则该变种会设置或重置设备PIN码以拒绝用户操作。

1.jpg

图七:设备管理员UI截屏。

1.jpg

图八:PIN码锁屏截图。


解决方案与建议

虽然这一变种的SLocker版本的加密过程存在一定程度的缺陷,但其引入的新功能进行持久锁屏,仍然值得QQ用户与移动游戏玩家的高度关注——勒索软件操作人员的攻击手段正变得日趋娴熟。而此新变种迅速的扩散态势亦表明,其幕后黑手并没有放缓推进脚步。

以下建议内容能够防止您的设备受该勒索软件感染 :

  • 不要轻信软件诱惑而下载,多数勒索软件都会伪装成神器、外挂、辅助及各种刷钻、刷赞、刷人气的软件,没有任何功能,只为吸引用户中招;

  • 仅从谷歌Play商店等合法应用商店处下载并安装应用;

  • 请注意应用程序要求的权限,特别是允许应用程序在外部存储上获取读取/写入权限;

  • 定期备份您的数据——可备份在其它安全设备或者云端;

  • 安装全面反病毒解决方案。

感染指标 (简称IOCS)

SHA256

软件包

应用名称

5212B6A8DD17CCFC60F671C82F45F4885E0ABCC354DA3D007746599F10340774

com.android.admin.hongyan

TyProxy

6E5BBEDCE0F2CFFCADF0397282861B8694AD9111FE566DA934FC11EE25827F03

com.android.admin.hongyan

TyProxy

16C497C382492C0132D581A4ECE0EF0AB6C8BA7B265A9D7B0F6D47D9871D5E06

com.android.admin.hongyan

TyProxy

FCC08F87BF7818DA1C8DC794CAD9EF840B65384DAB5F6610334632163E867113

com.android.admin.hongyan

TyProxy

B16A904AF7EBEB3B3A9C8FEF342C60EAB83DFA6867ACDBAA6F55C1F06B974123

com.android.admin.hongyan

TyProxy

5BFF2298944632CC50A17F88EA59ACF64E6093F2A4B4CBA6841B38EDE0F26C3D

com.android.admin.hongyan

TyProxy

CDE39A1338905B1C0D5A899378C9428A48D6CA01CB55396C03268DA939D3DD4A

com.android.admin.hongyan

TyProxy

DE990C12617F7CD01E2B810BC33AF4AE43B6E7C43430F7039252AC93416D5223

com.android.admin.hongyan

永恒之蓝-挽安!

53136F6CEA9C04CF139C42A0F9B863C87BB1A3114010C324106D85A401FD8CAF

com.android.admin.hongyan

安卓王者荣耀修改器

1ED647CB7A0F145D2E84FDFC7ADC2E865C312DBE574C4AB4298173EC7E9FCAB5

com.android.admin.hongyan

安卓王者荣耀修改器

026733EB26FF09111CE389B56EAF431271812DFE28B426CB171C722EB41D62D7

com.android.admin.hongyan

黑客攻防工具箱

8FFF1BF0BFA618B6350DA5D99A620C21BD6F88A8711469575AA449A947CF6E96

com.android.admin.hongyan

钱来了!

645E969D314FE3813B268EFC3270366BFF0023D73F5A5E205761815BF7F51285

com.android.admin.hongyan

王者荣耀美化器

6FB373890F4CD54F7A5E3BCFB6F592D7703504238EA8E3AAF5FB8B6D6A4B2FE8

com.android.admin.hongyan

qb提取器

8A5102D2A3CE616FA60C165A4548A85D202625B924C8E5627BFE9759E7FFF735

com.android.admin.hongyan

钱来了!

FDAC14D2871293E3B38984F4833C8113E46673748B86625728363B1DF9F83517

com.android.admin.hongyan

TyProxy移动版

DECB041278048C001142232AE9374D86489A011AF922D2F1803EAEBE690DACA0

com.android.admin.hongyan

鸢与锁机生成器

BC0B9BCADDCE6EF5A0BAB3BA1B278DE110E00F8F8A1CF1C64E782740B0BC2F6D

com.android.admin.huanmie

钱来了!

D835CF9D88EABC8508F130745FA786385FD7C2CC9C5F29B2DA5E6C2DC8372FA6

com.android.admin.huanmie

钱来了!

1C8A5045044DBF30C0781AC67263019CA0C8BF7562952821D7F5F54B9D6B74A8

com.android.admin.huanmie

钱来了!

AE3F772B12D4C97B4377DFADFE01528411811D22F8708A2B33A10494461EC2E4

com.android

TyProxy

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com

@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。