ANDROID勒索軟體黑產研究 -- 惡意軟體一鍵生成器

360烽火實驗室

摘 要

• 2017年1月至9月，360烽火實驗室共捕獲手機勒索惡意軟體50萬餘個，平均每月捕獲手機勒索軟體5.5萬餘個。語音識別、二維碼和文件加密等新型勒索軟體不斷湧現。
• 社交網路服務被濫用，2017年前三季度，360烽火實驗室發現勒索信息中新增QQ號碼7.7萬餘個，QQ群號碼1千餘個。其中，一季度新增QQ號碼和QQ群號碼數量均為最多，第二、三季度逐漸下降，與一季度相比二季度下降23.0%，三季度下降56.8%。
• 大部分勒索信息中都會同時出現QQ號和QQ群號。在相似頁面布局的勒索頁面中，變化是只是QQ號而QQ群號基本不變。
• 鎖機源碼、測試視頻、視頻教程、軟體源碼及製作工具等等上傳到群文件中，共享給群里其他人，甚至還有人製作木馬一鍵生成器。
• 通QQ群查詢「鎖機」關鍵字得到的結果，帶有「鎖機」關鍵字標籤的QQ群有200餘個，由此可見QQ群是勒索軟體的主要傳播源。
• 大部分一鍵生成器由簡易工具AIDE製作而成，一鍵生成器能夠製作22種不同類型的軟體，其中包括了12種不同類型的勒索軟體、6種釣魚軟體、2種套路軟體、1種攔截馬軟體以及1種表白軟體。
• 生成流程包括三個部分，選擇生成軟體的類型、填寫生成軟體的配置信息和添加生成軟體ROOT鎖。

關鍵詞：移動安全、手機勒索、一鍵生成器

第一章 研究背景

一、手機勒索軟體肆虐嚴重

今年5月，WannaCry勒索病毒全球大爆發，至少150個國家、30萬名用戶中招，造成損失達80億美元，已經影響到金融，能源，醫療等眾多行業，造成嚴重的危機管理問題。中國部分Windows操作系統用戶遭受感染，校園網用戶首當其衝，受害嚴重，大量實驗室數據和畢業設計被鎖定加密。部分大型企業的應用系統和資料庫文件被加密後，無法正常工作，影響巨大。

面對這突如其來的病毒攻擊，勒索軟體成為人們熱點關注的話題。相比PC的勒索軟體，手機勒索軟體近年來在數量和種類上也得到了逐漸迅猛發展演變。

2017年1月至9月，360烽火實驗室共捕獲手機勒索惡意軟體50萬餘個，平均每月捕獲手機勒索軟體5.5萬餘個。其中1月到5月手機勒索軟體呈現波動式增長，6月份網警在蕪湖、安陽將勒索病毒製作者男子陳某及主要傳播者晉某抓獲，全國首例手機勒索病毒案告破，在6月份以後新增數量急劇下降，手機勒索軟體製作者得到了一定震懾作用。

二、新型勒索軟體不斷湧現

今年我們發現了勒索軟體使用的三種新型的技術手段：語音識別、二維碼和文件加密。語音識別採用STT（Speech to Text）技術，不再使用手動鍵入密碼來解鎖，通過使用者的語音輸入，進行識別、匹配從而進行解鎖；二維碼技術手段是通過掃描制馬人生成的二維碼進行轉賬支付勒索金額，整個轉賬過程中雙方信息交互僅為微信用戶的昵稱與轉賬賬目相關信息，微信用戶的昵稱可以隨意改變且不唯一，轉賬過程中不涉及雙方微信賬號的信息，轉賬後無法自動解鎖，讓受害者再次陷入制馬人的騙局中。

http://w.url.cn/s/ANLSjLF (二維碼自動識別)

文件加密類型的勒索軟體，雖然在國外早已出現，但在國內之前還並不常見，在受到了PC端的WannaCry勒索病毒大爆發影響後，國內開始出現仿冒頁面布局、圖片及功能的手機版WannaCry勒索病毒，甚至將手機版可編譯的源碼上傳至Github。

今年6月，我們發現了一款冒充時下熱門手游「王者榮耀」輔助工具的手機勒索惡意軟體，會對手機中照片、下載、雲盤等目錄下的個人文件進行加密。並向用戶勒索贖金，金額在20元、40元不等。並且宣稱三天不交贖金，價格將翻倍，七天不交，將刪除所有加密文件。這個惡意軟體由於可以在加密演算法、密鑰生成演算法上進行隨機的變化，甚至可以選擇對生成的病毒樣本進行加固混淆，很大程度上增加了修復難度，對手機中文件和資料造成了嚴重破壞。

第二章 社交網路成為勒索軟體主要傳播渠道

一、QQ服務被濫用

我們發現勒索軟體在勒索頁面的設計和文字上都有很多相似的地方，其中最為典型的特徵是勒索頁面中都留有制馬人聯繫方式，方便中招的受害者與制馬人聯繫，以便制馬人對受害者進行敲詐勒索，這些聯繫方式幾乎都是QQ號或者是QQ群。

2017年前三季度，360烽火實驗室發現勒索信息中新增QQ號碼7.7萬餘個，QQ群號碼1千餘個。其中，一季度新增QQ號碼和QQ群號碼數量均為最多，第二、三季度逐漸下降，與一季度相比二季度下降23.0%，三季度下降56.8%。

二、QQ群是主要傳播源

（一）QQ與QQ群關係

通過對勒索軟體預留的QQ號與QQ群的分析，我們發現大部分勒索信息中都會同時出現QQ號和QQ群號。在相似頁面布局的勒索頁面中，變化是只是QQ號而QQ群號基本不變。

例如，QQ群號30****23，與該號碼同時出現有325個不同的QQ號，包含這些QQ號的勒索軟體6千餘個。

2017年上半年，通過該QQ群傳播的勒索軟體累計感染手機近1萬部。感染地區覆蓋全國30多個省市，感染量最多的三個地區是北京（47.0%）、江蘇（35.0%）、廣東（4.0%）。

（二）QQ群共享資源

我們進到一些鎖機QQ群後發現，群里有人將一些鎖機源碼、測試視頻、視頻教程、軟體源碼及製作工具等等上傳到群文件中，共享給群里其他人，甚至還有人製作木馬一鍵生成器。

這種一鍵生成器操作簡單，不需要具備編程知識而且能夠自定義生成多種類型的手機惡意軟體。由於使用門檻低，造成了勒索軟體從數量、類型上的不斷增長與變化。

三、傳播影響與範圍

通QQ群查詢「鎖機」關鍵字得到的結果，帶有「鎖機」關鍵字標籤的QQ群有200餘個，由此可見QQ群是勒索軟體的主要傳播源。

第三章 勒索軟體定製與工廠化

一、大部分一鍵生成器由簡易工具製作而成

勒索軟體一鍵生成器不僅能夠根據需求定製手機惡意軟體尤其是勒索軟體，而且還能夠批量生產進入工廠化模式，這種一鍵生成器與大部分國內勒索軟體，同樣是使用AIDE開發工具開發。

AIDE是一款用於直接在Android設備上開發Android應用程序的集成開發環境（IDE）。支持編寫-編譯-調試運行整個周期，開發人員可以在Android手機或者平板機上創建新的項目，藉助功能豐富的編輯器進行代碼編寫，支持實時錯誤檢查、代碼重構、代碼智能導航、生成APK，然後直接安裝進行測試。使用AIDE能降低軟體作者的學習成本和開發門檻，同時擁有更靈活和快速修改代碼的能力。

創建APP工程

APP編譯簽名

二、一鍵生成器介紹

我們從某安卓鎖機源碼QQ群中下載到名為「APP夢工廠」的一鍵生成器。

經過分析，一鍵生成器包結構主要有兩部分構成，一部分是定製模板，另一部分是簽名工具，均存放在APK包的assets資源文件夾下。

生成模板共有22種不同類型的軟體，其中包括了12種不同類型的勒索軟體、6種釣魚軟體、2種套路軟體、1種攔截馬軟體以及1種表白軟體。

簽名工具使用的是Android測試證書。

三、生成器製作流程

（一）選擇生成軟體的類型

選擇花式鎖屏，類型包含固定密碼生成、序列號生成、網頁生成、電話生成、隱藏輸入框生成、聲控生成、魔幻粒子版遠程修改密碼生成、時鐘生成、百變序列號生成、搖一搖生成、序列號圖案生成和遠程修改密碼生成。

選擇消息轉發，類型包括消息轉發（手機號版）和消息轉發（郵箱版）

選擇消息反饋，類型包括消息反饋1（手機號版）、消息反饋1（郵箱版）、消息反饋2（手機號版）和消息反饋2（郵箱版）

選擇表白軟體，只有一種類型無聲的表白

選擇套路軟體，類型包括金典手機服務和王者榮耀禮包

（二）填寫生成軟體的配置信息

需要選擇圖標、軟體背景圖文件路徑、填寫軟體名稱、PIN碼、解鎖密碼以及頁面上顯示的文字內容。

這些自定義的勒索軟體配置信息，被插入到生成器的模版文件中，重新簽名後在SD卡目錄下生成定製的APK文件。

（三）添加生成軟體ROOT鎖

這裡添加ROOT殼，並不是指APK的加固加殼。而是指將之前一鍵生成的勒索軟體以子包的形式隱藏在另一個軟體中，後者偽裝成正常軟體安裝運行後會通過一些文字提示誘導用戶授予ROOT許可權，同時將前者安裝到手機系統軟體目錄中，這種子母包組合的鎖機方式被制馬人稱為「ROOT殼」。

一般偽裝的正常軟體都與ROOT、清理加速、文件管理相關，主要因為從這些軟體的功能上，更容易讓人們授予ROOT許可權，從而更加順利的隱藏到系統目錄中。

結束語

社交網路的飛速發展，讓人與人之間的溝通變得更加方便。由於社交網路平台的靈活多變，也讓一些人能夠更加輕鬆的獲取、傳播惡意軟體，平台的監管也帶來了更大的困難。

制馬人肆無忌憚製作、傳播勒索軟體進行勒索敲詐，並且大膽留下自己的QQ、微信以及支付寶賬號等個人聯繫方式，主要是因為他們年齡小，法律意識淡薄，認為涉案金額少，並沒有意識到觸犯法律。甚至以此作為賺錢手段，並作為向他人進行炫耀的資本，加速了手機勒索軟體的演變。

惡意軟體一鍵生成器取代了人工繁瑣的代碼編寫、編譯過程，進一步降低了製作門檻，不僅生成速度變快，並且能夠根據需要進行定製。

自從WannaCry勒索病毒全球大爆發後，國內效仿的勒索軟體層出不窮。以加密文件方式進行敲詐勒索的手機勒索惡意軟體逐漸出現，改變了之前的手機鎖屏勒索的方式。手機勒索軟體技術上更加複雜，造成的用戶額外損失更加嚴重，同時也給安全廠商帶來更大的挑戰。

推薦閱讀：