Android勒索软件黑产研究：恶意软件一键生成器 - FreeBuf互联网安全新媒体平台 | 关注黑客与极客
Android勒索软件黑产研究：恶意软件一键生成器
共155633人围观
，发现 5 个不明物体
2017年1月至9月，360烽火实验室共捕获手机勒索恶意软件50万余个，平均每月捕获手机勒索软件5.5万余个。语音识别、二维码和文件加密等新型勒索软件不断涌现。
社交网络服务被滥用，2017年前三季度，360烽火实验室发现勒索信息中新增QQ号码7.7万余个，QQ群号码1千余个。其中，一季度新增QQ号码和QQ群号码数量均为最多，第二、三季度逐渐下降，与一季度相比二季度下降23.0%，三季度下降56.8%。
大部分勒索信息中都会同时出现QQ号和QQ群号。在相似页面布局的勒索页面中，变化是只是
QQ号而QQ群号基本不变。
锁机源码、测试视频、视频教程、软件源码及制作工具等等上传到群文件中，共享给群里其他人，甚至还有人制作木马一键生成器。
通QQ群查询“锁机”关键字得到的结果，带有“锁机”关键字标签的QQ群有
200余个，由此可见QQ群是勒索软件的主要传播源。
大部分一键生成器由简易工具AIDE制作而成，一键生成器能够制作22种不同类型的软件，其中包括了
12种不同类型的勒索软件、6种钓鱼软件、2种套路软件、
1种拦截马软件以及1种表白软件。
生成流程包括三个部分，选择生成软件的类型、填写生成软件的配置信息和添加生成软件ROOT锁。&
关键词：移动安全、手机勒索、一键生成器
一、手机勒索软件肆虐严重
今年5月，WannaCry勒索病毒全球大爆发，至少150个国家、30万名用户中招，造成损失达80亿美元，已经影响到金融，能源，医疗等众多行业，造成严重的危机管理问题。中国部分Windows操作系统用户遭受感染，校园网用户首当其冲，受害严重，大量实验室数据和毕业设计被锁定加密。部分大型企业的应用系统和数据库文件被加密后，无法正常工作，影响巨大。
面对这突如其来的病毒攻击，勒索软件成为人们热点关注的话题。相比PC的勒索软件，手机勒索软件近年来在数量和种类上也得到了逐渐迅猛发展演变。
2017年1月至9月，360烽火实验室共捕获手机勒索恶意软件50万余个，平均每月捕获手机勒索软件5.5万余个。其中1月到5月手机勒索软件呈现波动式增长，6月份网警在芜湖、安阳将勒索病毒制作者男子陈某及主要传播者晋某抓获，全国首例手机勒索病毒案告破，在6月份以后新增数量急剧下降，手机勒索软件制作者得到了一定震慑作用。
二、新型勒索软件不断涌现
今年我们发现了勒索软件使用的三种新型的技术手段：语音识别、二维码和文件加密。语音识别采用STT（Speech to Text）技术，不再使用手动键入密码来解锁，通过使用者的语音输入，进行识别、匹配从而进行解锁；二维码技术手段是通过扫描制马人生成的二维码进行转账支付勒索金额，整个转账过程中双方信息交互仅为微信用户的昵称与转账账目相关信息，微信用户的昵称可以随意改变且不唯一，转账过程中不涉及双方微信账号的信息，转账后无法自动解锁，让受害者再次陷入制马人的骗局中。
文件加密类型的勒索软件，虽然在国外早已出现，但在国内之前还并不常见，在受到了PC端的WannaCry勒索病毒大爆发影响后，国内开始出现仿冒页面布局、图片及功能的手机版WannaCry勒索病毒，甚至将手机版可编译的源码上传至Github。
今年6月，我们发现了一款冒充时下热门手游“王者荣耀”辅助工具的手机勒索恶意软件，会对手机中照片、下载、云盘等目录下的个人文件进行加密。并向用户勒索赎金，金额在20元、40元不等。并且宣称三天不交赎金，价格将翻倍，七天不交，将删除所有加密文件。这个恶意软件由于可以在加密算法、密钥生成算法上进行随机的变化，甚至可以选择对生成的病毒样本进行加固混淆，很大程度上增加了修复难度，对手机中文件和资料造成了严重破坏。
第二章&&&&& 社交网络成为勒索软件主要传播渠道
一、QQ服务被滥用
我们发现勒索软件在勒索页面的设计和文字上都有很多相似的地方，其中最为典型的特征是勒索页面中都留有制马人联系方式，方便中招的受害者与制马人联系，以便制马人对受害者进行敲诈勒索，这些联系方式几乎都是QQ号或者是QQ群。
2017年前三季度，360烽火实验室发现勒索信息中新增QQ号码7.7万余个，QQ群号码1千余个。其中，一季度新增QQ号码和QQ群号码数量均为最多，第二、三季度逐渐下降，与一季度相比二季度下降23.0%，三季度下降56.8%。
二、QQ群是主要传播源
（一）QQ与QQ群关系
通过对勒索软件预留的QQ号与QQ群的分析，我们发现大部分勒索信息中都会同时出现
QQ号和QQ群号。在相似页面布局的勒索页面中，变化是只是QQ号而
QQ群号基本不变。
例如，QQ群号30****23，与该号码同时出现有325
个不同的QQ号，包含这些QQ号的勒索软件6
2017年上半年，通过该QQ群传播的勒索软件累计感染手机近1万部。感染地区覆盖全国
30多个省市，感染量最多的三个地区是北京（47.0%）、江苏（35.0%
）、广东（ 4.0%）。
（二）QQ群共享资源
我们进到一些锁机QQ群后发现，群里有人将一些锁机源码、测试视频、视频教程、软件源码及制作工具等等上传到群文件中，共享给群里其他人，甚至还有人制作木马一键生成器。
这种一键生成器操作简单，不需要具备编程知识而且能够自定义生成多种类型的手机恶意软件。由于使用门槛低，造成了勒索软件从数量、类型上的不断增长与变化。
三、传播影响与范围
通QQ群查询“锁机”关键字得到的结果，带有“锁机”关键字标签的QQ群有
200余个，由此可见QQ群是勒索软件的主要传播源。
第三章&&&&& 勒索软件定制与工厂化
一、大部分一键生成器由简易工具制作而成
勒索软件一键生成器不仅能够根据需求定制手机恶意软件尤其是勒索软件，而且还能够批量生产进入工厂化模式，这种一键生成器与大部分国内勒索软件，同样是使用AIDE开发工具开发。
AIDE是一款用于直接在Android设备上开发Android应用程序的集成开发环境（IDE）。支持编写-编译-调试运行整个周期，开发人员可以在Android手机或者平板机上创建新的项目，借助功能丰富的编辑器进行代码编写，支持实时错误检查、代码重构、代码智能导航、生成APK，然后直接安装进行测试。使用AIDE能降低软件作者的学习成本和开发门槛，同时拥有更灵活和快速修改代码的能力。
创建APP工程
APP编译签名
二、一键生成器介绍
我们从某安卓锁机源码QQ群中下载到名为“APP梦工厂”的一键生成器。
经过分析，一键生成器包结构主要有两部分构成，一部分是定制模板，另一部分是签名工具，均存放在APK包的assets资源文件夹下。
生成模板共有22种不同类型的软件，其中包括了12种不同类型的勒索软件、6种钓鱼软件、2种套路软件、1种拦截马软件以及1种表白软件。
签名工具使用的是Android测试证书。
三、生成器制作流程
（一）选择生成软件的类型
选择花式锁屏，类型包含固定密码生成、序列号生成、网页生成、电话生成、隐藏输入框生成、声控生成、魔幻粒子版远程修改密码生成、时钟生成、百变序列号生成、摇一摇生成、序列号图案生成和远程修改密码生成。
选择消息转发，类型包括消息转发（手机号版）和消息转发（邮箱版）
选择消息反馈，类型包括消息反馈1（手机号版）、消息反馈1（邮箱版）、消息反馈2（手机号版）和消息反馈2（邮箱版）
选择表白软件，只有一种类型无声的表白
选择套路软件，类型包括金典手机服务和王者荣耀礼包
（二）填写生成软件的配置信息
需要选择图标、软件背景图文件路径、填写软件名称、PIN码、解锁密码以及页面上显示的文字内容。
这些自定义的勒索软件配置信息，被插入到生成器的模版文件中，重新签名后在SD卡目录下生成定制的APK文件。
（三）添加生成软件ROOT锁
这里添加ROOT壳，并不是指APK的加固加壳。而是指将之前一键生成的勒索软件以子包的形式隐藏在另一个软件中，后者伪装成正常软件安装运行后会通过一些文字提示诱导用户授予ROOT权限，同时将前者安装到手机系统软件目录中，这种子母包组合的锁机方式被制马人称为“ROOT壳”。
一般伪装的正常软件都与ROOT、清理加速、文件管理相关，主要因为从这些软件的功能上，更容易让人们授予ROOT权限，从而更加顺利的隐藏到系统目录中。
社交网络的飞速发展，让人与人之间的沟通变得更加方便。由于社交网络平台的灵活多变，也让一些人能够更加轻松的获取、传播恶意软件，平台的监管也带来了更大的困难。
制马人肆无忌惮制作、传播勒索软件进行勒索敲诈，并且大胆留下自己的QQ、微信以及支付宝账号等个人联系方式，主要是因为他们年龄小，法律意识淡薄，认为涉案金额少，并没有意识到触犯法律。甚至以此作为赚钱手段，并作为向他人进行炫耀的资本，加速了手机勒索软件的演变。
恶意软件一键生成器取代了人工繁琐的代码编写、编译过程，进一步降低了制作门槛，不仅生成速度变快，并且能够根据需要进行定制。
自从WannaCry勒索病毒全球大爆发后，国内效仿的勒索软件层出不穷。以加密文件方式进行敲诈勒索的手机勒索恶意软件逐渐出现，改变了之前的手机锁屏勒索的方式。手机勒索软件技术上更加复杂，造成的用户额外损失更加严重，同时也给安全厂商带来更大的挑战。
&*本文作者：360安全卫士，转载请注明来自 FreeBuf.COM
必须您当前尚未登录。
必须（保密）
360安全卫士官方账号
关注我们 分享每日精选文章
可以给我们打个分吗？《好看》依托百度技术，精准推荐优质短视频内容，懂你所好，量身打造最适合你的短视频客户端！没有更多推荐了，
不良信息举报
举报内容：
ANDROID勒索软件黑产研究 ——恶意软件一键生成器
举报原因：
原文地址：
原因补充：
最多只允许输入30个字
加入CSDN，享受更精准的内容推荐，与500万程序员共同成长！a 当前位置：
不必惊慌！ 6个问答解决你对新型勒索病毒Petya的所有疑问
&叶研 o 　来源：前瞻网　E1511
近期多家跨国公司遭到新一轮未知病毒冲击，其中包括英国最大的传播集团WPP，德国化工企业默克集团，马士基集团，甚至连乌克兰政府及该国银行，超市等设施也不幸&中枪&。
乌克兰在这次病毒袭击中受损最严重，俄罗斯和其它欧洲国家仅次其后。在这一病毒爆发之前美国医院曾有类似事件曝出，两者之间或有联系。
（受Petya病毒感染后计算机屏幕显示画面）
1.这次病毒是怎么感染计算机的？
这一电脑病毒与之前永恒之蓝病毒攻击的计算机漏洞相同。
与之前出现的勒索病毒很像，都是通过远程锁定设备，而比特币又一次成为了黑客要求缴纳的赎金，向受害者索要价值300美元的比特币。
网络安全公司CrowdStrike情报副总裁Adam Meyers说这一软件尤其狡猾，在用户未操作的情况下就可感染机器。
目前超过20家公司已经支付了此次的赎金，但由于袭击者使用的邮件已经被停用，袭击者是否能够在收到赎金后解锁计算机尚不明确。
2.黑客是通过什么途径利用该病毒进行犯罪的？
目前来看，主要的病毒感染方式有几种。
乌克兰网络犯罪署发出警告：该国名为M.E.doc的会计软件系统的更新功能已被黑客利用。
乌克兰网络犯罪治理有关方面称：&需要强调的是，M.E.doc是此次病毒攻击的主要渠道之一。&
但M.E.doc软件制造商拒不承认这一点。
传播该病毒的关键是美国国家安全局开发的永恒之蓝黑客工具，在被一个叫做Shadow Brokers的团伙从网上窃取后开始进入网络。一些公司此前就应该修复其电脑系统漏洞了，部分因为担心耽误工作时间而迟迟未修。
一旦就入电脑系统，这一新计算机病毒就会获取用户名和密码来伪装自己进一步感染整个网络系统。
3.这一病毒感染事件比永恒之蓝事件还要严重吗？
目前为止这一新病毒感染电脑数量比永恒之蓝病毒感染的要少，永恒之蓝病毒感染了数十万台计算机。
在计算机安全研究人员发现一个被称为kill switch的计算机功能后，一旦启动该功能就能阻止永恒之蓝病毒进一步传播。当前的这场病毒袭击中，仅有一种电脑型号可以使用kill switch功能，并且有效与否还未得到验证。
著名网络安全软件生产商Symantec应急反应小组技术部长Eric Chien说由于不能用到kill switch功能这次的病毒袭击有可能成为&永生不灭，能够自动传播的病毒软件&。Eric Chien曾协助调查席卷全球工业界的震网病毒事件。他说：&从现在起每五年这种病毒就会出现一次。&
这一病毒软件显然已经从永恒之蓝病毒勒索失败中学到了不少教训。芬兰网络安全公司F-Secure称永恒之蓝的袭击者之所以失败是因为他们控制不了感染人数，但这次的袭击者看来&更加专业&。
4.这次病毒袭击背后的罪魁祸首是谁？
目前仍未有明确怀疑对象，也没有证据证明该袭击者与发起永恒之蓝网络袭击的是同一团伙。
乌克兰国家安全部长Oleksandr Turchynov认为是俄罗斯政府，目的是在对乌克兰造成破坏，但局面失控，波及到了俄罗斯企业。
网络犯罪一般是通过病毒软件进行的，因为病毒软件感染速度快，勒索钱财容易。
5.执法部门能将他们绳之以法吗？
不太可能。黑客可以将自己的IP地址进行伪装，如果这一网络袭击事件背后有国家的力量，则侦查起来将更加艰难。
曾任职美国司法部的John Carlin称虽然执法行动已经有所改善但要跨境侦破案件仍然面临很大挑战。
6.企业可以怎么应对？
修补计算机漏洞，制定应对病毒软件措施。
永恒之蓝爆发前，微软就已发行了一款补丁，企业应该及时更新软件。
大多数病毒软件会销毁文件，所以企业应该将文件备份。
企业也应该随时准备应对病毒软件袭击，确定自己是否要支付勒索金。在美国，FBI建议企业不要支付勒索金。
本文来源前瞻网，转载请注明来源。本文内容仅代表作者个人观点，本站只提供参考并不构成任何投资及应用建议。（若存在内容、版权或其它问题，请联系：）
关注微信号
广告、内容合作请点这里：
前瞻经济学人
专注于中国各行业市场分析、未来发展趋势等。扫一扫立即关注。
前瞻产业研究院
如何抓准行业的下一个风口？未来5年10年行业趋势如何把握？扫一扫立即关注。
相关阅读RELEVANT
文章评价COMMENT
还可以输入<em class="orange" id="emCmtLen" maxlen="个字
网友评论仅供其表达个人看法，并不表明前瞻网同意其观点或证实其描述。
扫一扫下载APP
与资深行业研究员/经济学家互动交流让您成为更懂行业的人
前瞻产业研究院
Copyright (C)
深圳前瞻资讯股份有限公司 All rights reserved. 　 　增值电信业务经营许可证：