安全路透社
当前位置:安全路透社 > 网络转载 > 正文

移动互联网勒索现象研究报告

1 移动互联网勒索概述

移动互联网勒索主要是通过一下几个方面来实现:

通过“呼死你”软件不断的向目标用户拨打骚扰电话,使用户无法正常使用手机,然后进行勒索;

通过购买大量的被黑客泄露的用户各种账号信息,然后使用“撞库”的方法筛选有效的账户信息,最后修改用户账户密码的信息来锁定用户设备(只要是针对苹果用户),使用户无法正常使用手机,然后进行勒索;

通过诱导欺骗用户在手机设备安装手机恶意软件来锁定用户手设备,使用户无法正常使用手机,然后进行勒索。

2 “呼死你”勒索介绍

2.1 “呼死你”勒索介绍

“呼死你”,又称“手机轰炸机软件”,主要是利用通讯费用低廉的电话作为呼叫号码,然后对目标用户长时间进行骚扰,从而达到勒索的目的。

2.2 “呼死你”软件工作流程介绍

“呼死你”主要是通过购买激活软件之后,设置需要骚扰用户的手机号码、拨打次数、拨号间隔之后,根据设置参数进行自动拨号,最后使用者会通过短信或者其他方式联系受害者,诱骗受害者支付费用,从而停止拨打骚扰电话。具体流程如图2-1所示。

 图2-1  “呼死你”软件整体工作流程

 图2-1  “呼死你”软件整体工作流程

2.3 “呼死你”软件技术原理

“呼死你”主要是通过调用系统拨号键盘,根据设置的骚扰用户的手机号码、拨打次数、拨号间隔等参数,进行拨打骚扰电话,具体实现如图2-2、图2-3所示。

 图2-2  调用手机拨号界面

图2-2  调用手机拨号界面

 图2-3  根据设置条件骚扰指定号码

图2-3  根据设置条件骚扰指定号码

2.4 获利方式

通过分析相关“呼死你”软件发现,目前“呼死你”软件主要是作者通过向购买者收取一定的注册码费用来获取利益,购买者主要是通过向骚扰对象索取停止骚扰费用来获取一定利益,具体流程如图2-4所示。

 图 2-4 “呼死你”软件获利流程

图 2-4 “呼死你”软件获利流程

2.4.1 贩卖获利

“呼死你”软件开发者会通过售卖软件的方式来获取利益,如图2-5所示。

  图2-5  购买注册码图2-5  购买注册码

图2-5  购买注册码

2.4.2 勒索获利

“呼死你”软件开发者或者购买者直接对目标用户进行长时间的骚扰性呼叫,导致用户不能正常使用手机,之后对目标用户进行勒索来获利。

3 基于苹果IOS的勒索介绍

3.1 IOS勒索介绍 

IOS勒索主要是由于黑客通过更改用户账号密码等信息,锁定目标用户设备,导致用户无法正常使用设备,从而实现勒索用户的目的。

3.2 IOS勒索流程

IOS勒索主要是一些组织通过一些渠道低价购买有价值的个人用户信息,然后通过“撞库”的方式清洗出有效的账号信息,之后通过修改Apple ID的密码来锁定用户手机进行勒索。具体流程图如图3-1所示。

 图3-1  IOS勒索流程

 图3-1  IOS勒索流程

3.3 IOS勒索获利流程

基于IOS勒索的产业链主要是黑产组织从第三方Apple市场或者黑客手中低价购买用户Apple ID账号和密码等信息,之后通过“撞库”方式,遍历所有的账户,获取有效的账号和密码,之后通过修改Apple ID的来锁定用户手机进行勒索,具体流程如图3-2所示。

 图3-2  IOS勒索获利流程

图3-2  IOS勒索获利流程

4 Android锁屏勒索软件介绍

Android锁屏勒索软件是一种通过各种方法锁定用户手机,使用户无法正常使用手机并以此胁迫用户通过微信红包等方式支付解锁费用的程序。其实现方式主要是通过设置PIN码、顶层窗口等方式来锁定用户手机,使用户无法正常使用手机。

Android锁屏勒索软件通常会伪装称“QQ刷钻”、“集赞”等软件,诱导用户安装运行,从而导致用户手机被锁定,并且这类恶意软件由于开发技术难度低,制作容易,导致该类软件更新速度快,同时会诱骗具有好奇心的开发者加入到制作勒索软件的队伍中,导致该软件的黑色产业持续扩大,影响更多的用户。

4.1 勒索软件常见工作流程

目前大多数勒索软件都是使用顶层窗口、设置PIN码来锁定用户手机,同时屏蔽虚拟按键防止用户退出,有的软件甚至通过将子包释放到系统目录的方式防止卸载,最后预留微信、QQ等信息,胁迫受害者支付解锁费用,或者推广该类病毒的开发技术等。流程图如图4-1所示:

 图4-1  锁屏勒索软件整体工作流程

图4-1  锁屏勒索软件整体工作流程

4.2 勒索软件技术原理

4.2.1 伪装技术

病毒作者利用大多数抱有不花钱使用破解软件或外挂的人员,希望得到各种 “神器”、“外挂”的游戏人员或者QQ群成员,通过将软件名称定义为“神器”、“刷钻”、“刷赞”,诱骗该类用户安装运行。如图4-2所示。

图4-2  伪装图标示例 

图4-2  伪装图标示例

经过统计分析,其中“红包”类安装名称占比24%,“刷赞”、“刷金币”类按住名占比23%,具体占比情况如图4-3所示。

 图4-3  安装名称统计

图4-3  安装名称统计

4.2.2 锁屏技术

4.2.2.1 Activity劫持

通过设置定时器监测顶层窗口,如果不是自身程序,则会重新启动并且设置addFlags值为“FLAG_ACTIVITY_NEW_TASK”覆盖原来程序的Activity,并且kill掉之前的顶层窗口进程。如图4-4、图4-5所示。

  图4-4  置顶窗口示例图4-4  置顶窗口示例

图4-4  置顶窗口示例

 图4-5  置顶窗口和kill进程代码

图4-5  置顶窗口和kill进程代码

4.2.2.2 顶层浮窗

顶层浮窗是利用WindowManager.LayoutParams通过控制flags属性制作一个特殊的全屏View并置顶。

该方法首先需要在android配置文件中添加SYSTEM_ALERT_WINDOW权限,之后通过addView方法设置全屏置顶悬浮窗,具体设置如下:

主要通过对窗口的flag进行设置。设置窗口的flag,可以直接通过窗口的getAttributes()得到其 WindowManager.LayoutParams对象,然后直接对它flag变量操作。也可以通过窗口的addFlags(int flags)方法,setFlags(int flags, int mask)方法进行设置。如图4-6、图4-7所示。

  图4-6  全屏顶层浮窗示例图4-6  全屏顶层浮窗示例

图4-6  全屏顶层浮窗示例

 图4-7  设置顶层浮窗代码

图4-7  设置顶层浮窗代码

4.2.2.3 屏蔽虚拟按键

病毒通过重写onKeyDown方法,屏蔽返回键、音量键、菜单键等虚拟按键,导致用户手机不响应按键动作的效果,使用户不能退出顶层窗口,以达到锁定手机目的。如图4-8所示。

 图4-8  屏蔽手机虚拟按键

图4-8  屏蔽手机虚拟按键

4.2.2.4 设置PIN码

病毒通过诱导用户激活设备管理器,之后病毒会强制给手机设置一个解锁PIN码,导致用户无法正常进入手机系统。

诱导用户激活设管理器权限,如图4-9、图4-10所示。

图4-9  诱导用户激活设备管理器   图4-9  诱导用户激活设备管理器

图4-9  诱导用户激活设备管理器

 图4-10  诱导用户激活设备管理器代码

图4-10  诱导用户激活设备管理器代码

获取设备管理器之后,私自设置解锁PIN码,如图4-11所示。

 图4-11  设置锁屏密码代码

图4-11  设置锁屏密码代码

4.2.2.5 自动启动

该类软件通常会监听手机开机广播,实现开机自动启动锁机程序,锁定用户手机,因此用户解锁之后,如果没有及时卸载,会导致手机再次锁定。如图4-12、图4-13所示。

 图4-12  注册开机自启动广播

图4-12  注册开机自启动广播

 图4-13  开机自启动锁屏服务

图4-13  开机自启动锁屏服务

4.2.3 加密技术

4.2.3.1 DES加密结合自定义加密

序列号是以加密的方式嵌入到代码中,增加破解的难度,如图4-14所示。

 图4-14  密码以加密字符串存储

图4-14  密码以加密字符串存储

自定义对加密序列号间隔256字节添加字符串“0”之后转换成16进制字符串,如图4-15所示。

 图4-15  自定义解密代码

图4-15  自定义解密代码

解锁码使用高级加密算法DES算法对上面的字符串进行解密,从而获取解锁序列号,如图4-16、图4-17所示。

 图4-16  DES解密代码

图4-16  DES解密代码

 图4-17  DES解密代码

图4-17  DES解密代码

4.2.3.2 MD5加密结合自定义加密

通过对指定内容进行MD5加密,之后从该MD5字符串就行截取正确的序列号:

MD5加密指定字符串,如图4-18所示。

 图4-18  MD5加密代码

图4-18  MD5加密代码

通过截取MD5字符串获取序列号,如图4-19所示。

 图4-19  截取MD5加密字符串

图4-19  截取MD5加密字符串

4.2.3.3 AES加密结合自定义加密

该类勒索软件中,通过自定义以及AES算法解密复杂的1进制字符串获取序列号,如图4-20、图4-21所示。 

 图4-20  密码以加密字符串存储

图4-20  密码以加密字符串存储

对复杂字符串进行截取,如图4-21所示。

 图4-21  自定义解密代码

图4-21  自定义解密代码

对截取后的字符串进行AES解密,从而获取序列号,如图4-22所示。

 图4-22  AES解密代码

图4-22  AES解密代码

4.2.4 防卸载技术

病毒会通过诱导用户获取ROOT权限,之后会释放内嵌的锁屏子包到系统目录,并重启手机以自动启动恶意子包,该方法会导致用户无法卸载锁屏软件,甚至双清手机也无法卸载如图4-23、图4-24所示。

 图4-23  诱导用户获取ROOT权限

图4-23  诱导用户获取ROOT权限

 图4-24  释放恶意子包到系统目录

图4-24  释放恶意子包到系统目录

4.2.5 解锁方式

4.2.5.1 序列号解锁 

勒索软件绝大部分都是通过输入序列号进行解锁,如图4-25所示。

 图4-25  序列号解锁

图4-25  序列号解锁

4.2.5.2 来电解锁

通过来电控制解锁,监听用户手机来电,通过对比来电号码进行解锁,如图4-26所示。

 图4-26  来电解锁

图4-26  来电解锁

4.2.5.3 网络解锁

通过网络从远程地址获取序列号解锁,后台如胶囊日记等网络获取序列号,有效的隐匿病毒作者信息,如图4-27所示。

  2.jpg

图4-27  网络解锁

4.3 黑色产业链分析

4.3.1 整体黑色产业链分析

通过分析发现,目前Android勒索软件主要是病毒作者利用大多数抱有不花钱使用破解软件或外挂的人员、以及希望得到各种“神器”、“外挂”的游戏或者QQ群成员的攀比心理,开发制作以“神器”、“刷钻”、“刷赞”伪装的锁机软件,并通过游戏论坛、QQ以及QQ群诱导该类人群使用,从而收取解锁费用获利;或者是利用该类软件实现方式简单,代码易实现,通过QQ群宣传教学,通过教学的方式收取费用,具体如图4-28所示。

 图4-28  Android锁屏勒索软件获利流程

图4-28  Android锁屏勒索软件获利流程

4.3.2 勒索软件演变历史

2014年2月发现第一款带有恶搞性质的锁机软件之后,由于该病毒的代码简单已开发,后续演变成通过多种方式锁机,并通过该方法勒索用户,目前已出现多种方式锁机以及防止用户卸载技术,具体演变历史以及相关病毒如图4-29、表4-1所示。

 图4-29  演变历史

图4-29  演变历史

表4-1  病毒信息

表4-1  病毒信息

4.3.3 诱骗手法

病毒作者利用大多数抱有不花钱使用破解软件或外挂的人员,希望得到各种 “神器”、“外挂”的游戏人员或者QQ群成员,通过将软件名称定义为“神器”、“刷钻”、“刷赞”,诱骗该类用户安装运行,如图4-30所示。

 图4-30  伪装诱骗

图4-30  伪装诱骗

4.4 获利方式

4.4.1 解锁收费

勒索软件会通过窗口置顶、设置PIN码等方式锁定用户手机,使用户无法正常使用手机,普通用户迫于无奈的情况下,会向病毒作者支付一定的解锁费用解锁手机,但是解锁之后,如果用户没有及时卸载软件,在用户开机时启,再次自动锁定用户手机,从而达到二次勒索,如图4-31所示。 

  图4-31  解锁收费图4-31  解锁收费

图4-31  解锁收费

4.4.2 付费群收费

通过创建付费群,诱导想了或者购买解锁屏软件的人员进群支付群主费用进群,如图4-32所示。

 图4-32  收费群收费

图4-32  收费群收费

4.4.3 收徒收费

病毒作者利用该类软件实现方式简单,代码易实现,以及该类病毒基本是通过AIDE(在Android手机或者平板机上进行Android软件)开发的特点,诱导好奇心的新人学习开发,收取一定费用,如图4-33所示。

 图4-33  收徒收费

图4-33  收徒收费

4.5 勒索软件溯源分析

4.5.1 溯源流程

黑客溯源主要是通过提取勒索软件中相关联的信息,包括QQ号码、下载域名以及手机号码等信息,通过对以上信息进行数据过滤和筛选,之后对筛选的数据进行网络追踪,已达到定位具体黑客,从源头打击的目的。

具体溯源流程如图4-34所示。

 图4-34  溯源流流程

图4-34  溯源流程

4.5.2 电子情报数据定性

4.5.2.1 域名情报数据分析

通过对勒索软件的域名进行分析和筛选,发现所有的勒索软件均是通过IP、网盘等方式进行传播,没有有效的基础溯源数据,对勒索软件传播域名及IP统计如图4-35所示:

 图4-35  勒索软件域名统计

图4-35  勒索软件域名统计

4.5.2.2 QQ号情报数据分析

QQ溯源主要是通过网络检索QQ相关信息,以及管理包含该QQ样本,获取其他信息,例如手机号码之后,管理结合支付宝等信息,最终获取黑客的详细信息,具体溯源流程如图4-36所示。

 图4-36  QQ号码溯源流程

图4-36  QQ号码溯源流程

通过筛选勒索软件预留QQ号码通过互联网溯源查看是否有有效的情报信息,当前对某个QQ追溯如下:

当前筛选出一个QQ号:12****740,通过QQ查找功能查看QQ是否有可利用的信息,如图4-37所示。

 图4-37  QQ号码信息

图4-37  QQ号码信息

发现该QQ号中没有提供可利用的有效电子情报数据,然后进一步通过互联网进行溯源。

通过网络检索该QQ号码,发现一个与其QQ号一样的网盘地址12*****40.cccpan.com,并且发现该网盘在网上留有登录密码,如图4-38、图4-39所示。

 图4-38  QQ号码信息

图4-38  QQ号码信息

 图4-39  网盘登录

图4-39  网盘登录

通过密码进入网盘之后,查看网盘提供的内容,发现网盘上存在锁屏勒索软件以及其他恶意软件,因此可以确认此人既是开发者又是传播者,如图4-40所示、图4-41所示。

 图4-40  网盘内容

图4-40  网盘内容

 图4-41  网盘应用下载记录

图4-41  网盘应用下载记录

另外在网盘中发现了预留了收徒群号22**79,其中站长(群主)QQ为12**40,通过查看群信息以及群文件,发现该群主要用于开发锁屏勒索软件收费教学以及传播,因此可以确定此人在使用和传播该锁屏勒索软件的同时,也时锁屏勒索软件的开发者,QQ群信息如图4-42、图4-43所示。

 图 4-42 QQ群信息

图 4-42 QQ群信息

 图4-43  QQ群聊天界面

图4-43  QQ群聊天界面

查看群文件,可以发现多款锁屏款勒索软件,并且下载次数已经上百次,如图4-44所示。

 图4-43  QQ群聊天界面

图4-44  QQ群文件下载记录

通过12***40的QQ邮箱查询支付宝,同时通过该QQ号码的勒索软件中内嵌的手机号码183******47在支付宝中转账提示发现,该手机号码和预留的QQ号码绑定,如图4-45、4-46所示。

  图4-45  QQ及手机号码关联的微信账号图4-45  QQ及手机号码关联的微信账号

图4-45  QQ及手机号码关联的微信账号

 图4-46  其他网络记录

图4-46  其他网络记录

最终网络追踪信息:

网络名字:朵*

真实姓名:林**

QQ:12**60***

手机号:183****47

支付宝账户: 12*****40@qq.com

出生时间:199*.08.05

家庭住址:广东省 揭阳市 惠来县 华湖* *镇 **后面

4.5.3 黑客地区分布

对Android勒索软件的传播地址进行分析,发现主要集中在上海、广东、北京以及四川,各地区下载地址占比分别是:上海占比26%、广东(含广州、深圳)占比21%、北京和四川占比均为17%,具体如图4-47所示。

 图4-47  其他网络记录

图4-47  其他网络记录

4.6 小结

通过对黑客的溯源追踪,可以有效的定位到传播源,从而可以从源头对该类软件进行有效的封堵以及打击。通过对黑客传播地址归属地的统计,可以很明显的观察到传播高发地,可以针对这些地域进行重点关注。

5 防范及处置建议

5.1 针对“呼死你”勒索

防范 “呼死你”最好的手段就是预防,用户尽量不要泄露自己的电话号码等隐私信息。

5.1.1 苹果手机处置措施

设置“勿扰模式”,只允许用户手机通讯录的所有人可以正常拨打用户电话:

打开“设置”“勿扰模式”选择“手动启动”选择“所有联系人”关闭“重复来电”,并设置静音模式为“始终”。

关闭电话等待功能:

打开“设置”选择“电话”选择“呼叫等待”关闭“呼叫等待”。

5.1.2 其他手机处置措置

使用第三方骚扰拦截软件,对骚扰电话号码进行拦截;

5.2 针对基于苹果IOS的勒索

IOS勒索主要原因在于用户没有保管好自己Apple ID,导致账号密码泄露,因此保护自己的账号安全才是首选。

登录苹果官方网站,进行我的Apple ID, 选择“管理您的Apple ID”;

选择“密码和账号安全”,在“两步验证”下面点击“开始设置”,根据提示操作;

选择开始设置”两部验证“,输入手机号获取验证码,确认自己的恢复密钥即可启动两步验证功能。

5.3 针对基于Android的勒索软件

 对于已经感染锁屏勒索软件的用户,可以重启手机进入安全模式,在设置->应用里面找到相应的APK,进行卸载。重启手机按音量“-”键,进入安全模式后在手机左下角会有“安全模式”四个字,进入安全模式卸载勒索软件。

安全从自身做起,建议用户在下载软件时,到针对的应用商店进行下载正版软件,避免从论坛等下载软件,可以有效的减少该类病毒的侵害;

安全需要做到防患于未然,可以使用恒安嘉新公司的APP威胁检测与态势分析平台进行分析对Android样本提取信息并进行关联分析和检测;

对于收费转账的QQ号码或者微信号码进行追踪治理,从收益环节阻断该类软件对用户侵害;

用户发现感染手机勒索软件之后,可以向“12321网络不良与垃圾信息举报受理中心”或“中国反网络病毒联盟”进行举报,使这类勒索软件能够第一时间被查杀和拦截。

更多精彩文章,请关注我们的官方微信公众号吧

*本文作者:暗影安全实验室,   转载请注明来自FreeBuf.COM

未经允许不得转载:安全路透社 » 移动互联网勒索现象研究报告

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册