首款集勒索、特工、银行木马于一体的新型综合型Android病毒深度剖析

宣布时间 2018-09-21

一、简述

凯旋国际游戏ADLab近期发明一款集勒索加密病毒、特工软件、银行木马于一体的新型Android恶意代码,着实现了如加密勒索（Ransomware）、键盘纪录（keylogger）、远程会见木马（RAT）、短信阻挡、呼叫转移和锁定屏幕等多种功效。。。。
详细剖析该恶意代码后发明，，，，，，该恶意代码新变种可挟制险些涵盖全天下各大金融机构的手机APP，，，，，，总数有300多个，，，，，，涉及中国、美国、英国、日本、中国香港、法国等40多个国家和地区。。。。该恶意代码还具有勒索软件的功效，，，，，，会使用256位对称密钥对受害用户的手机文件举行加密处置惩罚，，，，，，并且以“.AnubisCrypt”作为加密文件的扩展名，，，，，，同时还伪造了FBI忠言界面通知受害用户以比特币的方法支付罚金方可对文件举行解密。。。。另外，，，，，，它还能够被用于举行网络特工活动，，，，，，例如：监视受熏染装备主窗口活动、举行屏幕截图并发送给攻击者、使用内置麦克风监听受熏染装备周围情形中的声音等等。。。。

二、恶意代码发明

2018年8月尾，，，，，，凯旋国际游戏ADLab监测到一个当月新注册的异常Twitter账户，，，，，，该账户在Twitter上宣布了一些类似用base64编码的推文。。。。其2018年8月27日宣布了两条似乎完全相同的推文，，，，，，并且在我们发明当天，，，，，，又一连宣布两条差别的推文（见图1）。。。。

图1 可疑Twitter账户推文

我们通过base64解码这些推文后，，，，，，仍然看不到任何有意义的数据。。。。因此，，，，，，我们通过该Twitter链接“https://twitter.com/sHybzhzZWJgdbdj”来做关联剖析，，，，，，并且发明了一些可疑的apk文件，，，，，，通太过析确认该apk文件为Android平台下一款危害性极大的恶意APP，，，，，，并且现在还处于活跃状态。。。。通过深入剖析我们发明，，，，，，该恶意APP会毗连该Twitter链接“https://twitter.com/sHybzhzZWJgdbdj”获取推文，，，，，，并将其解密成为C&C地点，，，，，，其解密算法模拟了base64的效果，，，，，，但并非为base64算法，，，，，，以此疑惑发明异常推文的剖析职员。。。。解密后的字符串如表1所示：

表1 推文的解密

一直到9月2日，，，，，，黑客删除了其中的3条推文，，，，，，只留下最近的一条推文（见图2）。。。。说明使用该恶意代码举行的网络攻击活动正在举行。。。。

图2 攻击者的推文只剩下一条C&C

我们注重到，，，，，，该Twitter账户使用了被称为“全天下最大的骗子”的俄罗斯金融诈骗犯Sergei Mavrodi的照片作为图像，，，，，，推测攻击者很可能是Sergei Mavrodi的粉丝。。。。Sergei Mavrodi（1955年8月11日- 2018年3月26日）生于莫斯科，，，，，，1989年建设了MMM公司，，，，，，MMM宣称以摧毁天下不公正的金融系统为目的，，，，，，现实上是玩了一个“公共集资”的庞氏圈套游戏。。。。海内的e租宝、钱宝网等也都被认定是庞氏圈套。。。。在Sergei Mavrodi和其MMM公司将俄罗斯险些能骗的人都骗完了之后，，，，，，2015年Sergei Mavrodi将他的游戏带入了中国，，，，，，并且为了逃避羁系，，，，，，Sergei Mavrodi团队“立异地”将比特币支付引入了其支付系统，，，，，，勉励投资者使用比特币举行转账生意，，，，，，并为此特意制作了比特币扫盲视频，，，，，，见图3。。。。

图3 Sergei Mavrodi团队制作的比特币扫盲视频

三、样本演化

凭证样本关联剖析，，，，，，我们发明该恶意代码样本为Anubis的一个新变种。。。。

2017年1月，，，，，，清静公司Dr.Web曾发出忠言，，，，，，银行木马BankBot的源代码被果真宣布在了一个论坛上。。。。随后，，，，，，有网络犯法分子使用该源码建设了安卓银行木马Android.BankBot.149.origin，，，，，，彼时的BankBot还仅是一个典范的银行木马，，，，，，能够使用网络垂纶对话框窃取熏染用户手机银行的敏感信息，，，，，，如银行详细信息和信用卡数据。。。。

2018年3月5日，，，，，，PhishLabs发明了银行木马BankBot的一个新变种，，，，，，并第一次将其命名为Anubis，，，，，，Anubis同样基于BankBot源码开发，，，，，，并整合了众多差别类型恶意软件的功效于一身。。。。

2018年7月，，，，，，IBM X-Force的移动恶意软件研究职员视察到了大宗的Android恶意软件下载器被上传到了Google Play。。。。这些恶意软件下载器会在受熏染装备上装置Anubis。。。。这批注一个特定的恶意软件分销商已经从使用Marcher转向了分发Anubis。。。。

四、功效先容

Anubis新变种整合了多种类型恶意软件功效于一身，，，，，，图4是其功效示意图，，，，，，该变种包括勒索软件功效、键盘纪录功效、RAT功效、短信阻挡功效和呼叫转移功效等。。。。同时，，，，，，Anubis还可以窃取受害用户的通讯录、短信等敏感信息。。。。别的，，，，，，攻击者还可以远程控制受熏染装备，，，，，，使用受熏染装备向攻击者指定的目的发送特定短信。。。。不难想象，，，，，，攻击者完全可以对受害者的社交网络举行全方位渗透和诓骗。。。。

图4 Anubis功效示意图

图5是我们抓取到的该恶意代码变种和C&C效劳器通讯的数据包，，，，，，从图中可以看出，，，，，，该变种使用http协媾和C&C效劳器举行通讯，，，，，，通讯数据被加密处置惩罚后举行传输。。。。我们使用剖析出的解密算法对图中加密数据举行解密，，，，，，划分获得“aa5193bdfeb39625:(CHINA MOBILE):4.4.4:cn::AOSP on HammerHead (aosp_hammerhead):V::0:0:”和“|OK|”，，，，，，很显然是一个木马上线包。。。。

图5 C&C上线包

C&C下令和其附加数据接纳同样的加密计划传输，，，，，，我们将该恶意代码变种包括的主要C&C下令及其寄义归纳到了表2：

表2 主要的C&C下令和功效

五、典范行为剖析

5.1、窃取受害者银行账户凭证

Anubis监视目的应用程序启动，，，，，，然后使用对应的垂纶屏幕笼罩掉正当的应用程序以窃取受害者的账户凭证（见图6和图7），，，，，，同时会使用短信阻挡功效来阻挡银行发送给受害者的所有短信（见图8），，，，，，这样攻击者就绕过了银行的双层身份认证，，，，，，乐成对受害者的工业举行洗劫。。。。

图6 加载垂纶页面的代码

Anubis伪造的垂纶页面：

图7 伪造的垂纶页面

恶意代码将自身设置成默认短信应用，，，，，，阻挡用户短信：

图8 阻挡用户短信

攻击者的挟制目的险些涵盖全天下各大金融机构的手机APP，，，，，，总数抵达了300多个，，，，，，涉及中国、美国、英国、日本、中国香港、法国等40多个国家和地区，，，，，，部分目的金融APP的包名见表3：

表3 部分目的金融APP

5.2、加密受熏染装备文件，，，，，，对受害者举行勒索

差别于常见的只是简朴榨取受害者会见手机界面的锁定屏幕的勒索软件，，，，，，Anubis对受害用户的文件举行了加密，，，，，，加密的目录包括“/mnt”、“/mount”、“/sdcard”、“/storage”以及用户的内在存储卡目录，，，，，，见图9。。。。

图9 加密的文件目录

Anubis的�？？？？？？槭褂�256位对称密钥对文件举行加密处置惩罚，，，，，，并以“.AnubisCrypt”作为加密文件的扩展名，，，，，，见图10。。。。

图10 加密操作

在完成文件加密后，，，，，，Anubis会加载其锁定页面（图11），，，，，，提醒受害用户的手机已经被锁定并且文件被加密，，，，，，需要受害用户支付比特币方可对文件举行解密。。。。

图11 加载锁定页面

锁定页面htmllocker是从远程效劳器动态获取到的并生涯在其设置文件set.xml中，，，，，，如图12，，，，，，我们可以看到FBI WARNING的勒索信息：见告受害用户的手机被锁定，，，，，，并且所有的文件被加密，，，，，，用户的数据将会被传送到FBI，，，，，，除非受害用户支付罚金方可解密。。。。

凯旋国际游戏(中国)官方网站

图12 设置文件中的锁定页面代码

图13是htmllocker代码加载后的页面，，，，，，该页面做的相当逼真，，，，，，在“FBI WARNING”文字上方是“FBI”的LOGO ，，，，，，下方即是图12设置文件中的那一段勒索信息。。。。

图13 锁定页面

5.3、使用装备拨号应用执行USSD下令

USSD为GSM系统所使用的一种通讯协议，，，，，，用户可以通过手机拨号程序输入特定的指令取得系统效劳商提供的效劳，，，，，，好比盘问预付卡余额等，，，，，，也可以用于盘问手机内部信息，，，，，，如“*#06#”可以盘问手机的IMEI码。。。。也有部别离机厂商使用自界说的USSD指令敌手机做特殊的设定或操作，，，，，，例如将手机恢复为出厂设置，，，，，，开启手机的工程模式等。。。。

该变种使用受熏染装备的拨号程序来执行远程效劳器传来的指令，，，，，，从图14中我们可以看到，，，，，，攻击者首先翻开拨号程序，，，，，，然后输入从C&C获取到的恶意指令，，，，，，差别的指令对应差别的功效。。。。不扫除攻击者对受熏染装备恢复出厂模式或者恶意名堂化受熏染装备存储卡等可能性。。。。

图14 使用装备拨号应用执行USSD下令

5.4、设置呼叫转接

设置受熏染装备的呼叫转接号码为攻击者远程指定的手机号码（见图15）。。。。攻击者首先翻开受熏染装备的拨号程序，，，，，，然后通过输入“*21*手机号码#”对受熏染装备设置呼叫转接。。。。这样，，，，，，攻击者就可以乐成阻挡受害用户的手机来电，，，，，，并且可以使用此功效对受害用户举行诓骗。。。。

图15 设置呼叫转接

六、建议

建议用户不要容易点击短信中的不明链接，，，，，，不要装置不明泉源的APP。。。。对申请可疑权限尤其是短信读写、打电话以及需要激活装备治理器的APP要特殊注重，，，，，，涉及到款子的操作要格外审慎。。。。遇到操作异常，，，，，，应当实时使用杀毒软件查杀或找专人处置惩罚。。。。现在互联网上也充满着形形色色的第三方APP下载站点，，，，，，许多甚至成了恶意应用的批发集散地。。。。用户应特殊注重不应容易的在一些下载站点下载APP，，，，，，只管从官网下载所需APP应用，，，，，，在不得不从第三方下载站点下载软件时，，，，，，要高度坚持小心，，，，，，认真甄别，，，，，，避免误下恶意应用，，，，，，给自己造成不须要的贫困和损失。。。。

参考链接：
https://securityintelligence.com/anubis-strikes-again-mobile-malware-continues-to-plague-users-in-official-app-stores/

https://blogs.quickheal.com/android-malware-combines-banking-trojan-keylogger-ransomware-one-package/

7*24小时效劳热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

凯旋国际游戏

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后效劳

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系凯旋国际游戏

清静研究

首款集勒索、特工、银行木马于一体的新型综合型Android病毒深度剖析

关于凯旋国际游戏

解决计划

清静研究

联系凯旋国际游戏

7*24小时效劳热线