LOKIBOT——首個「變形金剛」式的Android 惡意軟體

02-10

最近研究者們發現了一個新型銀行惡意軟體，並將其命名為LokiBot。之所以說它像「變形金剛」，是因為LokiBot能夠在不同運行環境下提供許多獨特的攻擊功能，比如它所具備的勒索軟體模塊。

LokiBot的首要定位是銀行木馬，不過在進行攻擊時，如果它的銀行木馬訪問許可權被禁止或者用戶試圖刪除它時，它能夠立馬啟動勒索軟體模塊，瞬間轉變成一款勒索軟體。一旦勒索軟體的特性被激活，LokiBot能夠破譯用戶所有的數據變成另一種流氓軟體。

通過跟蹤分析LOKIBOT源代碼中使用的BTC地址，研究人員發現LOKIBOT的幕後開發者曾經開發過其它的惡意軟體，目前LokiBot在黑市的收入已經超過了150萬美元，大約是2000個比特幣。

比特幣錢包詳細信息

根據分析，LokiBot背後的開發者不太可能只是通過LokiBot一個軟體進行獲利，因為贖金的請求費用在70美元到100美元之間，而研究者們看到在各種攻擊活動中的費用通常在1000美元左右，可見惡意軟體是作為一個完整的工具包進行出售的，其中完整的許可證更新就價值 2000美元的比特幣。

這款惡意軟體也能夠盜取用戶的聯繫人、讀取和發送手機簡訊，甚至還會阻止用戶開啟他們的手機。LokiBot的主要傳播途徑是通過在銀行App上以及其他一些流行的應用程序，如Skype，Outlook和WhatsApp上插入釣魚連接，目前總共有100個左右的銀行App被感染。當受害者禁用惡意軟體的管理許可權或嘗試卸載它時，勒索軟體模塊將被激活，除了自動激活勒索軟體模塊意外，LokiBot還具有「Go_Crypt」命令，可以使攻擊者遠程觸發它。不過要說明的是，目前勒索軟體模塊並不是攻擊者特別喜歡的功能。

LOKIBOT的攻擊力解讀

只要是Android 4.0及以上的版本，LOKIBOT都能運行，且有著標準的銀行木馬的功能，比如盜取用戶的聯繫人、讀取和發送手機簡訊，甚至還會阻止用戶開啟他們的手機。除此之外，LOKIBOT還會發送一個特定的命令，向受害者的所有郵件聯繫人和手機的聯繫人發送釣魚鏈接，以進行更大範圍的傳播。另外，受害者的瀏覽器歷史也不安全，因為這些信息都會被上傳到攻擊者的命令與控制伺服器。

LokiBot還有一些更獨特的功能，比如，它有能力啟動受害者的瀏覽器應用程序並打開給定的網頁。此外，它還可以實現SOCKS5，可以自動回復簡訊，並同時啟動用戶的銀行App。這樣LokiBot就可以在後台向攻擊者顯示來自其他應用程序的通知，比如有一筆錢存入到了受害者帳戶等這樣的消息。這樣攻擊者就會根據這些信息，制定出對應的網路釣魚攻擊方案，比如，攻擊者會在出現新流入資金的銀行App里植入具有釣魚鏈接的通知，如果用戶點擊該鏈接，則就會觸發攻擊。除此之外，受害者手機收到通知時會將手機變換成震動狀態。

LokiBot的另一個非常有趣和獨特的地方是它的勒索軟體功能，當受害者嘗試通過禁止其管理許可權或從受感染的設備中刪除LokiBot時，勒索軟體功能就會開啟。也就是說，不管受害者怎樣防止，它的攻擊都不會停下來，不從用戶的身上扣下一塊肉來是不可能的，它的攻擊底線就是，加密用戶設備的所有文件讓你支付贖金。

有趣的是，LokiBot與之前發現的Bankbot變體的混淆網路流量的方式竟然完全相同，這也是為什麼有人最初把lokibot認為是Bankbot的變體的原因。

LokiBot的界面

LokiBot的命令與控制伺服器的操作面板設計的很人性化，比如它為使用者提供了一個內置的APK構建器，可讓使用者自定義圖標，名稱，構建日期和C2 URL，從而創建大量針對不同用戶組的不同樣本，另外它也會自動生成簽署每個APK的證書。

除了構建APK之外，使用還可以自定義顯示給受害者的信息，並對所有收集的數據（如日誌，歷史和地理位置）進行高級搜索。

惡意軟體命令與控制面板

勒索功能分析

當受害者嘗試刪除惡意軟體時，勒索軟體的功能將自動被激活。此外，它可以通過發送「Go_Crypt」命令從命令與控制伺服器激活。

禁用「設備管理員」時勒索軟體自動激活

一旦勒索功能被激活，它就開始搜索主共享或外部存儲目錄（傳統上是SD卡）中的所有文件和目錄，並使用AES對它們進行加密。密鑰會在默認AES/ECB/PKCS5填充（Padding）和128位密鑰大小下隨機生成。幸運的是，LokiBot的加密功能目前還未能實現，因為加密的文件和目錄只是被簡單地修改了名字。換句話說，受害者並未真正失去他們的數據。但是不幸的是，這款惡意軟體仍然激活了屏幕鎖，讓受害者無法打開手機。

當受害者的手機被鎖屏後，屏幕上會顯示出一個通知信息「你的手機由於觀看兒童色情被鎖屏」，一般情況下贖金在70美元到100美元之間。從下圖可以看出，LokiBot的比特幣地址在APK中被硬編碼，不能從命令與控制伺服器中更新。

屏幕被鎖定的截圖

硬編碼比特幣地址

LokiBot的缺點

LokiBot防止動態分析的反偵察技術不是很好，不過即便是這樣，LokiBot還是要比其它惡意的銀行APP更受追捧。根據跟蹤分析，LokiBot的開發者似乎在不斷更新這款軟體的反偵察技術，以下技術就是在最新版本的LokiBot中找到的：

1.檢測Qemu文件：/dev/socket/qemud, /dev/qemu_pipe, /system/lib/libc_malloc_debug_qemu.so, /sys/qemu_trace, /system/bin/qemu-props；

2.檢測Qemu屬性：init.svc.qemud，init.svc.qemu-props，qemu.hw.mainkeys；

3.檢測/proc/tty/drivers中的模擬器（goldfish）驅動程序；

4.檢查TaintDroid軟體包的安裝包org.appanalysis；

5.對TaintDroid類dalvik. system. taint進行檢查。

總結

其實從今年夏初開始，研究者就發現了這一惡意軟體，在30到40個樣本中發現了100到2000個不同功能的LokiBot木馬。從目前的功能來看，開發者幾乎每周都回對它進行升級，這就表明LokiBot正在變成一個功能非常強大的Android木馬，並以銀行和流行App為攻擊目標。

本文翻譯自：https://clientsidedetection.com/lokibot___the_first_hybrid_android_malware.html ，如若轉載，請註明原文地址： http://www.4hou.com/info/news/8177.html 更多內容請關注「嘶吼專業版」——Pro4hou