LOKIBOT——首個「變形金剛」式的Android 惡意軟體
最近研究者們發現了一個新型銀行惡意軟體,並將其命名為LokiBot。之所以說它像「變形金剛」,是因為LokiBot能夠在不同運行環境下提供許多獨特的攻擊功能,比如它所具備的勒索軟體模塊。
LokiBot的首要定位是銀行木馬,不過在進行攻擊時,如果它的銀行木馬訪問許可權被禁止或者用戶試圖刪除它時,它能夠立馬啟動勒索軟體模塊,瞬間轉變成一款勒索軟體。一旦勒索軟體的特性被激活,LokiBot能夠破譯用戶所有的數據變成另一種流氓軟體。
通過跟蹤分析LOKIBOT源代碼中使用的BTC地址,研究人員發現LOKIBOT的幕後開發者曾經開發過其它的惡意軟體,目前LokiBot在黑市的收入已經超過了150萬美元,大約是2000個比特幣。
比特幣錢包詳細信息
根據分析,LokiBot背後的開發者不太可能只是通過LokiBot一個軟體進行獲利,因為贖金的請求費用在70美元到100美元之間,而研究者們看到在各種攻擊活動中的費用通常在1000美元左右,可見惡意軟體是作為一個完整的工具包進行出售的,其中完整的許可證更新就價值 2000美元的比特幣。
這款惡意軟體也能夠盜取用戶的聯繫人、讀取和發送手機簡訊,甚至還會阻止用戶開啟他們的手機。LokiBot的主要傳播途徑是通過在銀行App上以及其他一些流行的應用程序,如Skype,Outlook和WhatsApp上插入釣魚連接,目前總共有100個左右的銀行App被感染。當受害者禁用惡意軟體的管理許可權或嘗試卸載它時,勒索軟體模塊將被激活,除了自動激活勒索軟體模塊意外,LokiBot還具有「Go_Crypt」命令,可以使攻擊者遠程觸發它。不過要說明的是,目前勒索軟體模塊並不是攻擊者特別喜歡的功能。
LOKIBOT的攻擊力解讀
只要是Android 4.0及以上的版本,LOKIBOT都能運行,且有著標準的銀行木馬的功能,比如盜取用戶的聯繫人、讀取和發送手機簡訊,甚至還會阻止用戶開啟他們的手機。除此之外,LOKIBOT還會發送一個特定的命令,向受害者的所有郵件聯繫人和手機的聯繫人發送釣魚鏈接,以進行更大範圍的傳播。另外,受害者的瀏覽器歷史也不安全,因為這些信息都會被上傳到攻擊者的命令與控制伺服器。
LokiBot還有一些更獨特的功能,比如,它有能力啟動受害者的瀏覽器應用程序並打開給定的網頁。此外,它還可以實現SOCKS5,可以自動回復簡訊,並同時啟動用戶的銀行App。這樣LokiBot就可以在後台向攻擊者顯示來自其他應用程序的通知,比如有一筆錢存入到了受害者帳戶等這樣的消息。這樣攻擊者就會根據這些信息,制定出對應的網路釣魚攻擊方案,比如,攻擊者會在出現新流入資金的銀行App里植入具有釣魚鏈接的通知,如果用戶點擊該鏈接,則就會觸發攻擊。除此之外,受害者手機收到通知時會將手機變換成震動狀態。
LokiBot的另一個非常有趣和獨特的地方是它的勒索軟體功能,當受害者嘗試通過禁止其管理許可權或從受感染的設備中刪除LokiBot時,勒索軟體功能就會開啟。也就是說,不管受害者怎樣防止,它的攻擊都不會停下來,不從用戶的身上扣下一塊肉來是不可能的,它的攻擊底線就是,加密用戶設備的所有文件讓你支付贖金。
有趣的是,LokiBot與之前發現的Bankbot變體的混淆網路流量的方式竟然完全相同,這也是為什麼有人最初把lokibot認為是Bankbot的變體的原因。
LokiBot的界面
LokiBot的命令與控制伺服器的操作面板設計的很人性化,比如它為使用者提供了一個內置的APK構建器,可讓使用者自定義圖標,名稱,構建日期和C2 URL,從而創建大量針對不同用戶組的不同樣本,另外它也會自動生成簽署每個APK的證書。
除了構建APK之外,使用還可以自定義顯示給受害者的信息,並對所有收集的數據(如日誌,歷史和地理位置)進行高級搜索。
惡意軟體命令與控制面板
勒索功能分析
當受害者嘗試刪除惡意軟體時,勒索軟體的功能將自動被激活。此外,它可以通過發送「Go_Crypt」命令從命令與控制伺服器激活。
禁用「設備管理員」時勒索軟體自動激活
一旦勒索功能被激活,它就開始搜索主共享或外部存儲目錄(傳統上是SD卡)中的所有文件和目錄,並使用AES對它們進行加密。密鑰會在默認AES/ECB/PKCS5填充(Padding)和128位密鑰大小下隨機生成。幸運的是,LokiBot的加密功能目前還未能實現,因為加密的文件和目錄只是被簡單地修改了名字。換句話說,受害者並未真正失去他們的數據。但是不幸的是,這款惡意軟體仍然激活了屏幕鎖,讓受害者無法打開手機。
當受害者的手機被鎖屏後,屏幕上會顯示出一個通知信息「你的手機由於觀看兒童色情被鎖屏」,一般情況下贖金在70美元到100美元之間。從下圖可以看出,LokiBot的比特幣地址在APK中被硬編碼,不能從命令與控制伺服器中更新。
屏幕被鎖定的截圖
硬編碼比特幣地址
LokiBot的缺點
LokiBot防止動態分析的反偵察技術不是很好,不過即便是這樣,LokiBot還是要比其它惡意的銀行APP更受追捧。根據跟蹤分析,LokiBot的開發者似乎在不斷更新這款軟體的反偵察技術,以下技術就是在最新版本的LokiBot中找到的:
1.檢測Qemu文件:/dev/socket/qemud, /dev/qemu_pipe, /system/lib/libc_malloc_debug_qemu.so, /sys/qemu_trace, /system/bin/qemu-props;
2.檢測Qemu屬性:init.svc.qemud,init.svc.qemu-props,qemu.hw.mainkeys;
3.檢測/proc/tty/drivers中的模擬器(goldfish)驅動程序;
4.檢查TaintDroid軟體包的安裝包org.appanalysis;
5.對TaintDroid類dalvik. system. taint進行檢查。
總結
其實從今年夏初開始,研究者就發現了這一惡意軟體,在30到40個樣本中發現了100到2000個不同功能的LokiBot木馬。從目前的功能來看,開發者幾乎每周都回對它進行升級,這就表明LokiBot正在變成一個功能非常強大的Android木馬,並以銀行和流行App為攻擊目標。
本文翻譯自:https://clientsidedetection.com/lokibot___the_first_hybrid_android_malware.html ,如若轉載,請註明原文地址: http://www.4hou.com/info/news/8177.html 更多內容請關注「嘶吼專業版」——Pro4hou
推薦閱讀:
※技術詳解:基於Web的LDAP注入漏洞
※聽老外講解如何將XSS轉化為RCE
※GoSSIP 論文推薦(2017-06-02)
※Black Hat 2017 安全大會上有哪些值得關注的攻防趨勢?
※旁路保護(I):Reversing和重構受保護的dll
TAG:信息安全 |