我要投稿 | 留言给我

Android软件黑产研究:恶意软件一键生成器

※发布时间:2018-2-19 14:27:15   ※发布作者:平民百姓   ※出自何处: 

  2017年1月至9月,360烽火实验室共捕获手机恶意软件50万余个,平均每月捕获手机软件5.5万余个。语音识别、二维码和文件加密等新型软件不断涌现。

  社交网络服务被,2017年前三季度,360烽火实验室发现信息中新增QQ号码7.7万余个,QQ群号码1千余个。其中,一季度新增QQ号码和QQ群号码数量均为最多,第二、三季度逐渐下降,与一季度相比二季度下降23.0%,三季度下降56.8%。

  大部分信息中都会同时出现QQ号和QQ群号。在相似页面布局的页面中,变化是只是QQ号而QQ群号基本不变。

  锁机源码、测试视频、视频教程、软件源码及制作工具等等上传到群文件中,共享给群里其他人,甚至还有人制作木马一键生成器。

  通QQ群查询“锁机”关键字得到的结果,带有“锁机”关键字标签的QQ群有200余个,由此可见QQ群是软件的主要源。

  大部分一键生成器由简易工具AIDE制作而成,一键生成器能够制作22种不同类型的软件,其中包括了12种不同类型的软件、6种钓鱼软件、2种套软件、1种拦截马软件以及1种软件。

  今年5月,WannaCry病毒全球大爆发,至少150个国家、30万名用户中招,造成损失达80亿美元,已经影响到金融,能源,医疗等众多行业,造成严重的危机管理问题。中国部分Windows操作系统用户遭受感染,校园网用户首当其冲,严重,大量实验室数据和毕业设计被锁定加密。部分大型企业的应用系统和数据库文件被加密后,无法正常工作,影响巨大。

  面对这突如其来的病毒,软件成为人们热点关注的话题。相比PC的软件,手机软件近年来在数量和种类上也得到了逐渐迅猛发展演变。

  2017年1月至9月,360烽火实验室共捕获手机恶意软件50万余个,平均每月捕获手机软件5.5万余个。其中1月到5月手机软件呈现波动式增长,6月份网警在芜湖、安阳将病毒制作者男子陈某及主要者晋某抓获,全国首例手机病毒案告破,在6月份以后新增数量急剧下降,手机软件制作者得到了一定作用。

  今年我们发现了软件使用的三种新型的技术手段:语音识别、二维码和文件加密。语音识别采用STT(Speech to Text)技术,不再使用手动键入密码来解锁,通过使用者的语音输入,进行识别、匹配从而进行解锁;二维码技术手段是通过扫描制马人生成的二维码进行转账支付金额,整个转账过程中双方信息交互仅为微信用户的昵称与转账账目相关信息,微信用户的昵称可以随意改变且不唯一,转账过程中不涉及双方微信账号的信息,转账后无法自动解锁,让者再次陷入制马人的中。

  文件加密类型的软件,虽然在国外早已出现,但在国内之前还并不常见,在受到了PC端的WannaCry病毒大爆发影响后,国内开始出现仿冒页面布局、图片及功能的手机版WannaCry病毒,甚至将手机版可编译的源码上传至Github。

  今年6月,我们发现了一款冒充时下热门手游“王者荣耀”辅助工具的手机恶意软件,会对手机中照片、下载、云盘等目录下的个人文件进行加密。并向用户赎金,金额在20元、40元不等。并且三天不交赎金,价格将翻倍,七天不交,将删除所有加密文件。这个恶意软件由于可以在加密算法、密钥生成算法上进行随机的变化,甚至可以选择对生成的病毒样本进行加固混淆,很大程度上增加了修复难度,对手机中文件和资料造成了严重。

  我们发现软件在页面的设计和文字上都有很多相似的地方,其中最为典型的特征是页面中都留有制马人联系方式,方便中招的者与制马人联系,以便制马人对者进行,这些联系方式几乎都是QQ号或者是QQ群。

  2017年前三季度,360烽火实验室发现信息中新增QQ号码7.7万余个,QQ群号码1千余个。其中,一季度新增QQ号码和QQ群号码数量均为最多,第二、三季度逐渐下降,与一季度相比二季度下降23.0%,三季度下降56.8%。

  通过对软件预留的QQ号与QQ群的分析,我们发现大部分信息中都会同时出现QQ号和QQ群号。在相似页面布局的页面中,变化是只是QQ号而QQ群号基本不变。

  例如,QQ群号30****23,与该号码同时出现有325个不同的QQ号,包含这些QQ号的软件6千余个。

  2017年上半年,通过该QQ群的软件累计感染手机近1万部。感染地区覆盖全国30多个省市,感染量最多的三个地区是(47.0%)、江苏(35.0%)、广东(4.0%)。

  我们进到一些锁机QQ群后发现,群里有人将一些锁机源码、测试视频、视频教程、软件源码及制作工具等等上传到群文件中,共享给群里其他人,甚至还有人制作木马一键生成器。

  这种一键生成器操作简单,不需要具备编程知识而且能够自定义生成多种类型的手机恶意软件。由于使用门槛低,造成了软件从数量、类型上的不断增长与变化。

  通QQ群查询“锁机”关键字得到的结果,带有“锁机”关键字标签的QQ群有200余个,由此可见QQ群是软件的主要源。

  软件一键生成器不仅能够根据需求定制手机恶意软件尤其是软件,而且还能够批量生产进入工厂化模式,这种一键生成器与大部分国内软件,同样是使用AIDE开发工具开发。

  AIDE是一款用于直接在Android设备上开发Android应用程序的集成开发(IDE)。支持编写-编译-调试运行整个周期,开发人员可以在Android手机或者平板机上创建新的项目,借助功能丰富的编辑器进行代码编写,支持实时错误检查、代码重构、代码智能、生成APK,然后直接安装进行测试。使用AIDE能降低软件作者的学习成本和开发门槛,同时拥有更灵活和快速修改代码的能力。

  经过分析,一键生成器包结构主要有两部分构成,一部分是定制模板,另一部分是签名工具,均存放在APK包的assets资源文件夹下。

  生成模板共有22种不同类型的软件,其中包括了12种不同类型的软件、6种钓鱼软件、2种套软件、1种拦截马软件以及1种软件。

  选择花式锁屏,类型包含固定密码生成、序列号生成、网页生成、电话生成、隐藏输入框生成、声控生成、魔幻粒子版远程修改密码生成、时钟生成、百变序列号生成、摇一摇生成、序列号图案生成和远程修改密码生成。

  选择消息反馈,类型包括消息反馈1(手机号版)、消息反馈1(邮箱版)、消息反馈2(手机号版)和消息反馈2(邮箱版)

  需要选择图标、软件背景图文件径、填写软件名称、PIN码、解锁密码以及页面上显示的文字内容。

  这些自定义的软件配置信息,被插入到生成器的模版文件中,重新签名后在SD卡目录成定制的APK文件。

  这里添加ROOT壳,并不是指APK的加固加壳。而是指将之前一键生成的软件以子包的形式隐藏在另一个软件中,后者伪装成正常软件安装运行后会通过一些文字提示用户授予ROOT权限,同时将前者安装到手机系统软件目录中,这种子母包组合的锁机方式被制马人称为“ROOT壳”。

  一般伪装的正常软件都与ROOT、清理加速、文件管理相关,主要因为从这些软件的功能上,更容易让人们授予ROOT权限,从而更加顺利的隐藏到系统目录中。

  社交网络的飞速发展,让人与人之间的沟通变得更加方便。由于社交网络平台的灵活多变,也让一些人能够更加轻松的获取、恶意软件,平台的监管也带来了更大的困难。

  制马人制作、软件进行,并且大胆留下自己的QQ、微信以及支付宝账号等个人联系方式,主要是因为他们年龄小,法律意识淡薄,认为涉案金额少,并没有意识到法律。甚至以此作为赚钱手段,并作为向他人进行炫耀的资本,加速了手机软件的演变。

  恶意软件一键生成器取代了人工繁琐的代码编写、编译过程,进一步降低了制作门槛,不仅生成速度变快,并且能够根据需要进行定制。

  自从WannaCry病毒全球大爆发后,国内效仿的软件层出不穷。以加密文件方式进行的手机恶意软件逐渐出现,改变了之前的手机锁屏的方式。手机软件技术上更加复杂,造成的用户额外损失更加严重,同时也给安全厂商带来更大的挑战。

  

相关阅读
  • 没有资料