假冒永恒之蓝的手机勒索软件详细分析
报告名称:假冒永恒之蓝的手机勒索软件详细分析
作者:Andy
报告更新日期:2017年6月11日
样本发现日期:2017年6月9日
样本文件大小/被感染文件变化长度:110,131 字节
样本文件MD5 校验值:24009955BB6951B7CBE32862DEA5DACE
样本文件SHA1 校验值:83E60C3C2B3FDEE07722373442472CA1F2FADD80
壳信息:
可能受到威胁的系统:Android
名称:播放器插件
包名:com.fhn
主要描述:样本是一款很普通的锁机软件,但是解锁码不像一般锁机软件直接明文写出,经过简单的算法处理,该锁机软件一旦安装,如果不能正常解锁,手机将处于长期锁机状态,不能使用;软件启动后就会获取最高权限,引导用户激活设备管理器,正常无法卸载;该锁机软件还有过分了勒索话语,欺诈用户的文字,模仿永恒之蓝的诈骗语句,其实都是忽悠人的。
详细分析:
0x00 运行界面
0x01 获取权限
android.permission.INTERNET 已声明 未使用 访问网络连接,可能产生GPRS流量
android.permission.ACCESS_NETWORK_STATE 已声明 已使用 获取网络信息状态,如当前的网络连接是否有效
android.permission.RECEIVE_BOOT_COMPLETED 已声明 未使用 允许程序开机自动运行
android.permission.MOUNT_UNMOUNT_FILESYSTEMS 已声明 未使用 挂载、反挂载外部文件系统
android.permission.SYSTEM_ALERT_WINDOW 已声明 未使用 显示系统窗口
android.permission.VIBRATE 已声明 已使用 允许振动
android.permission.WRITE_EXTERNAL_STORAGE 已声明 未使用 允许程序写入外部存储
0x02 具体行为
锁机软件启动后引导用户激活设备管理器,将自己写好的界面置顶。
代码结构和之前的一样,应该是出自同一人,一些赘述就不在这里一一写出来了,不清楚的可以看之前的文章。
这人是不嫌麻烦,搞了一大堆包就为了误导用户,也是用心良苦啊
上图就是真正要关心的PIN值,之前说过拿到锁机之后先强行重启手机,完了之后看锁机界面会不会消失,如果消失了,自然就到了PIN值界面,我们只需要找到PIN值解锁即可我把上述代码整理了一下,得到PIN值如下:
其中唯一一点就是S2在中间过程变成了0,是因为取0-1之间随机数然后取整等于0,所以S2为0.此次用户使用的支付方式不再是qq、微信,说明作者提高警惕了,使用的第三方支付界面,需要用户自己登陆界面去买一件50元的虚拟产品,该产品周末已经下架。
上图的链接已经失效。
0x03 技术热点
该锁机软件没有什么新颖的手段,只是用了最简单的方法蒙蔽用户,首先写了一大堆的包,里面包含各种锁机的解锁密码,误导用户浪费时间;
其次就是对PIN值用简单的算法计算,其中弄了一个随机数取整为0;
再就是将以往使用的支付方式摒弃,使用新的第三方支付界面,避免自己信息被追查。
0x04 安全建议
从正规的应用商城下载应用,不随意点击别人给的下载链接
不贪小便宜,不要下载所谓的红包、刷钻、王能软件之类的应用
对自己不清楚的软件最好先使用模拟器安装,如果正常在安装亦无妨
0x06 意外发现
通过样本的传播地址(http://www.9yse.com/nhb.apk),发现了病毒传播首页,做的是相当丑啊,界面也是相当污,就不截图了,自己看看行了。可别手贱,弄得自己手机数据被窃取,手机被锁屏,然后被勒索钱财就完蛋了;
病毒锁机界面有一个地址,是用来支付的(http://www.see8.xyz/),看见了吧,都是se,俗话说得好“色字头上一把刀”,小心了;
进入样本下载地址可以发现样本是用某某网盘存储的,这也是垃圾软件最喜欢的存储方式。
下面几张图是简单的跟踪,并无效果:
有兴趣的网友可以继续跟踪,欢迎分享。
小白作品,大神不喜勿碰,谢谢。
人才呀,这个也山寨 9yse这个网站页面是真的丑。。 支持!!~这分析厉害! 膜拜 大神啊 技术好贴,顶你 whlvd 发表于 2017-6-12 11:14
人才呀,这个也山寨
谢谢支持,求评分 模拟器1已牺牲... 那么简单的诱惑居然有人中招........ 越简单的传播得越快,现在的人有几个愿意花时间了解问题。