内含安卓打单 软件快速解锁方法!
2017年2月13-17日,RSA Conference 2017 信息安全大会在美国旧金山Moscone中心 谨慎 举行 。大会第一天就是一系列关于Ransomware(打单 软件)的议题 ,而在刚刚已往 的2016年,“MongDB数据库网络打单 变乱 ”,“ElasticSearch数据库网络打单 变乱 ” ,网络打单 题目 已成为互联网安全的重点关注题目 之一。
此前,某安全研究职员 在知乎专栏爆料,某黑产团伙利用 嵌入恶意代码的刷钻应用举行 QQ盗号和恶意锁屏 ,感染用户高达八千人。克日 ,盘古实行 室发现同一团伙传播 的升级版恶意应用,计划 锁屏用户移动装备 ,举行 诓骗 打单 。
“一 、配景 概述”
在某社区平台,有安卓用户称在QQ群中下载了“爱扣字 ”这款应用,导致手机被恶意锁住,无法正常利用 。
通过感染用户提供的锁屏图片中的QQ群号码 ,我们找到了管理员的QQ号。管理员的QQ署名 明白 标注相识 锁的代价 。
管理员署名 :“想要解锁本身 的手机,必要 接洽 加QQ群189894077,接洽 管理员 ,QQ红包35元,微信付出 宝40元。”
“二、恶意锁屏触发流程”
盘古实行 室在获取到恶意样本后,在安卓模仿 器上举行 了测试 ,还原其锁屏触发流程及技能 原理。下图为恶意锁屏的触发流程图 。
在安装“爱扣字 ”应用后,打开应用程序,弹出“扣字神器”的安装界面 ,提示安装“扣字神器”应用。
安装并打开“扣字神器 ”。“萌宠大揭秘”中的GIDGET,看起来萌萌的。在点击“点击开始免费激活”按钮后,跳转到下图第二个界面 。弹窗“激活完全免费” ,点击“激活 ”。
同时第三个界面弹窗扣问 是否激活装备 管理器,激活后,跳转到上图第四个界面。前面的几个界面看起来都相对可靠,这个界面看着些许不适 ,风格诡异 。
点击“点击开始root”后,装备 黑屏并重启。重启后,装备 已经被恶意应用锁屏。
在整个锁屏触发的过程中 ,真正具有恶意锁屏举动 的应用是“爱扣字”推送安装的程序“扣字神器 ” 。
“三、样本技能 原理”
(1)锁屏原理
锁屏类打单 软件通常利用 WindowManager.LayoutParams的flags属性,设置玉成 屏表现 ,使悬浮窗口悬浮置顶。本文中的恶意应用也利用 了同样的方法。
国内的大多数打单 类软件也大多是利用 同样的本领 。
除了锁屏 ,对于按键操纵 ,程序也举行 了监控。
当按键为4或82时,实行 com.bugzapk.z的代码。4代表的是返回键 ,82代表的是菜单键 。代码中并未出现监控音量键 、关机键等特性 代码。
com.bugzapk.z中的代码重要 作用是将bug.apk放在system目次 中,作为体系 应用开机启动,到达 长期 恶意锁屏的目标 。
而bug.apk正是重定名 的“扣字神器”这款应用。
(2)暗码 加密算法
应用程序中解锁暗码 并没有明文存储 ,而是利用 了AES加密和压缩算法,将暗码 举行 加密后存储 。
AES加密:
压缩算法:
解密前原数据:
解密后明文:
(3)其他恶意举动
在恶意应用运行的过程中,会主动 哀求 网页"https://www.wencaojun.top/xnsmtp.html",而网页中的内容是邮箱和一串雷同 暗码 的字符串。
汗青 恶意样本是发送序列号加密后的字符串到指定邮箱 ,而这个恶意应用固然 保存 了部分 汗青 代码,在此底子 上添加了代码,但是在测试的过程中并未出现发送邮箱的举动 。
在代码中也出现了一些可疑邮箱 。
“四、快速解锁 ”
快速解锁只必要 三个暗码 即可。
第一个解锁暗码 为:
a.安装恶意软件时联网 ,暗码 为
"https://www.wencaojun.top/sj.html"中声明七中的数字。
b.安装恶意软件时未联网,暗码 为4312 。
第二个解锁暗码 为:
2415
第三个解锁暗码 为:
a.若安装时激活装备 管理器,暗码 为"https://www.wencaojun.top/pin.html"中的数字。
b.若安装时未激活装备 管理器 ,暗码 为3957。
“五、解锁细节分析”
在整个解锁的流程中,并不如“解锁管理员”署名 中所述,解锁只需35元大概 40元就可以打扫 屏幕锁定 。颠末 测试我们发现 ,想要解锁装备 至少要有三个暗码 才华 解锁。而这些暗码 ,与解锁界面中天生 的序列号毫无关系,此中 有两个暗码 生存 在长途 服务器上 ,管理员可以随意修改。
(a)第一个解锁界面
在恶意软件安装后,程序会主动 发送HTTP哀求 到指定的服务器 。若HTTP哀求 乐成 ,则设置第一个解锁界面的解锁暗码 为网页"https://www.wencaojun.top/sj.html"中声明七中的数字;若HTTP哀求 失败,则设置第一个解锁界面的解锁暗码 为4312。
(b)第二个解锁界面
第二个解锁界面中有三个暗码 可以利用 ,分别是4951 、997998和2415。这几个暗码 加密存储在恶意应用的代码中,并不是明文可见。
这里的逻辑处理 惩罚 很风趣 。暗码 输入4951会返回到第一个解锁界面;暗码 输入2415,乐成 解锁 ,跳转到第三个解锁界面;暗码 输入997998,则会提示机型不支持,需提供机型给管理员解锁。
这里的机型是程序通过获取装备 信息获取到的 ,是真实信息,但是机型不支持只是一个套路罢了。
在输入997998跳转到如上图所示界面后,输入暗码 2415跳转到第三个解锁界面 。
(c)第三个解锁界面
第三个解锁界面实际 上修改了体系 的pin值 ,设置了新的pin值。
第三个解锁界面的解锁暗码 与在安装程序时是否激活装备 管理器有关。
程序安装时会扣问 是否激活装备 管理器 。若激活装备 管理器,则程序从长途 服务器端获取暗码 ,暗码 泉源 于"https://www.wencaojun.top/pin.html"。若未激活装备 管理器 ,则暗码 为程序加密存储的数字3957。
至此,整个程序才算解锁完毕 。固然 ,这仅是解锁完毕。假如 解锁后没有立即 删除该恶意应用,重新启动手机后该应用仍会继承 主动 启动并锁屏。
“六、恶意锁屏财产 链 ”
恶意样本代码中包罗 多少 手机号码、QQ号 、QQ群等信息 ,根据以上信息及感染用户提供的信息探索 ,其财产 链也越发清楚 。
该团伙利用 受害者贪小自制 的生理 ,多次在安卓逆向破解群、安卓反编译群、扣字群、QQ刷赞群等多个群中匿伏 ,在群文件中共享包罗 恶意代码的锁屏应用,并伪造成免费应用的样子,伺机传播 。
在用户下载安装后 ,通过指定QQ群举行 接洽 。QQ群一样平常 伪装成平凡 的游戏交换 群或一样平常 沟通群。
通常环境 下,群主不参加 整个打单 的流程,会提示受害者接洽 管理员举行 解锁 。管理员则会对受害者多次索取解锁费 ,到达 打单 财帛 的目标 。
打单 团伙具备高度的反侦查意识。在获取样本后的短短几天内多次更换群主和管理员,驱逐 QQ群,创建 新的牟利链 。
QQ账号注册本钱 低 ,一个手机号码可注册多个QQ号。纵然 QQ号被举报,被腾讯公司收回,也可以利用 雷同 的手机号继承 注册,而且 常常 更换QQ号码也会在肯定 程度 上克制 其账号在交际 平台放肆 传播 ,影响牟利。
而之前在其他交际 平台被披露的QQ群,大多数已驱逐 。如今 仍旧 被用来维持业务的QQ群根本 上都是16年之后创建 的。
与其他诓骗 打单 团伙差别 的是,这个团伙在百度贴吧中专门建了一个贴吧举行 本身 的解锁宣传。固然 贴吧排名不高 ,帖子数量 少的可怜,但是仍旧 可以通过此中 几个解锁管理员的QQ搜刮 到 。
正如恶意样本技能 分析中形貌 的一样,用户装备 受到感染至少实行 3个步调 ,至少可牟利100元。而如许 低本钱 的恶意锁屏软件,每天 感染3个用户,月收入就过万了 ,日积月累,涉案金额并不是一个小数量 。
“七 、安全发起 ”
恶意锁屏诓骗 打单 的变乱 中,所安装的应用均来自QQ群 ,论坛等非正规渠道,而这些渠道并不具备大型应用市场相对严格 的考核 制度 。
对于已经感染该恶意样本的用户,可通过本文中的解锁流程举行 解锁操纵 ,解锁后立即 删除该应用 ,克制 掉入循环付费解锁的黑洞。
针对安卓用户,应只管 克制 安装泉源 不明的应用,对于应用获取root权限等敏感举动 的操纵 也应该保持鉴戒 ,克制 遭受丧失 。
THANK YOU FOR CONCER
N
感谢您的关注
上海犇众信息技能 有限公司是以国际顶级安全团队盘古为核心 的自主创新型企业,在操纵 体系 安全性研究、程序主动 化分析、弊端 发掘 与攻防等研究范畴 有雄厚底子 。公司创建 于2014年,致力于移动互联网安全技能 研究和产物 研发 、为企业及个人用户提供专业的安全服务息争 决方案 。
基于盘古团队的安全研究结果 ,公司在移动终端APP弊端 检测与风险评估,恶意APP检测与分析、移动装备 取证、移动装备 APT检测与对抗等范畴 开辟 了多款产物 。
公司以让每一台智能移动终端更安全为任务 ,基于丰富的体系 攻防之道 ,铸造坚固 的移动装备 安全和数据隐私保障之盾。公司承袭 技能 分享理念,为促进信息安全社区的团体 发展和技能 提拔 积极贡献力气 。
扫描二维码
关注盘古实行 室
A professional permanent Hong Kong space provider!
蜀ICP备2024069684号 Powered By 小孩姐. Theme By EscSeo学习网
