News

Android 用戶小心!勒索軟件假冒《王者榮耀》輔助程式

  •  
  •  
  •  

發淘寶上出現「高仿版」的WannaCry 勒索程式10人民幣發售,最近網絡資訊保方案廠商趨勢科技發現手機勒索程式SLocker」出現了一個假冒成手遊《王者榮耀》助程式新變種(趨勢科技命名為:ANDROIDOS_SLOCKER.OPST),其畫面很像之前肆虐全球的WannaCry勒索程式。

 

 

SLocker 家族基本上是最古老的手機勒索程式之一,會鎖定裝置畫面並加密檔案,而且還會假冒執法機關的名義恐嚇受害者,讓受害者乖乖付錢。該病毒在沉寂了多年後,突然在今年五月重出江湖。這次名為「王者荣耀輔助」的 SLocker 變種基本上是一個針對 Android 平台的檔案加密勒索程式 。

 

不過,這個 SLocker 變種並沒有肆虐多久。因為,就在該病毒的詳細手法被公開的五天後,一名疑似其作者的黑客即被中國公安逮捕。之後更出現針對該程式的解密工具,加上該程式散布的管道有限(大多經由 QQ 群和 BBS 系統之類的網絡論壇散播),因此受害者數量非常稀少。但要留意的是該程式仍然在繼續推出更多變種。

圖 1:第一個模仿 WannaCry 的手機勒索程式。
偽裝成遊戲作弊程式、視訊播放程式

 

此勒索程式為了引誘用戶安裝,會偽裝成遊戲作弊程式、視訊播放程式等等。在開始安裝時,它的圖示看起來很像一般的遊戲指南,但當程式開始執行之後,就會變更圖示和名稱,被感染的裝置桌布也會跟著被換掉。

 

此勒索程式會替系統上的「com.android.tencent.zdevs.bah.MainActivity」活動註冊一個別名。然後停用原本的活動,並啟用新宣告的別名以更改其圖示。

圖 2:勒索程式程式在執行之後,就會更換圖示和名稱。

 

 

勒索程式如何加密檔案 ?

 

在安裝後,此勒索程式會檢查自己曾否在該裝置執行。如果沒有,就會隨機產生一個數字並儲存到 Shared Preferences 應用程式資料永久儲存區。接下來,它會搜尋外接儲存裝置目錄,然後建立一個新的執行檔。

 

該執行檔會搜尋外接儲存裝置目錄下所有符合以下條件的檔案:

  • 檔案路徑當中不含「/.」、「android」、「com.」及「miad」等字樣。
  • 以外接儲存裝置為根目錄,符合條件的檔案必須在三層目錄以內,或者路徑中有「baidunetdisk」、「download」或「dcim」等字樣(大小寫皆可)。
  • 檔案名稱當中必須包含「.」字元,且加密後的檔案名稱不能超過 251 個位元組。
  • 檔案大小必須超過 10 KB 並小於 50 MB。

 

勒索程式在加密時刻意略過系統檔案,且主要針對下載的檔案和照片,並且只加密含有副檔名的檔案(文字檔、照片、影片)。當找到符合所有條件的檔案,該執行檔就會透過 ExecutorService(一種讓 Java 執行非同步工作的方式) 來執行一項新工作。

圖 3:執行新工作的程式碼片段。

這個新工作會使用一個叫做「getsss」的方法,根據先前產生的隨機數字來製作加密鑰。此方法會算出隨機數字的 MD5 數值,然後從此 MD5 數值的十六進位碼當中取出一個 16 字元字串。接著,病毒再將此字串輸入SecretKeySpec 當中來產生最後的 AES 金鑰,然後用 AES 演算法加密檔案。

 

檔案在被加密之後會多了一個副檔名,名稱包含一個 QQ 碼和前述用來產生金鑰的隨機數字。

圖4:檔案遭到加密之後的副檔名。

此勒索程式提供了三種支付贖金的方式,三種方式最後都會出現同樣的 QR code 畫面,並透過中國境內熱門的 QQ 服務支付。假使受害者在三天內沒有付錢,贖金會自動高。若過了一週還沒付錢,勒索程式會威脅刪除所有檔案。

圖 5:勒索程式的付款選項。
方法

 

勒索程式表示受害者支付贖金之後就會收到解密金鑰。但經過趨勢科技分析,我們發現當受害者輸入金鑰並按下「Decrypt」(解密) 按鈕之後,勒索程式會將輸入的金鑰與程式中 MainActivity.m 變數內的數值做比對。但經過詳細的追蹤,MainActivity.m 內的數值其實就是前述隨機數字再加 520。

以我們手上的樣本為例,其隨機數字是「10049252」。所以解密金鑰就是「10049772(10049252 + 520)。我們將此數值輸入金鑰欄位,然後按「Decrypt按鈕,就可以解開檔案。

圖 7:手機勒索程式檔案解密畫面。
新的變種

從該程式最早曝光的版本至今,已經有越來越多變種出現。雖然某些變種修改了解密鑰的產生方式,但用戶只要找出新的公式,依然能夠自行解開檔案:

 

解決方案與建議

 

相較於之前我們見過的勒索程式,此勒索程式相對單純許多。因此對資訊保安研究人員來說,要透過反向工程找出解密方法並非難事。但在第一個變種出現之後,很快就又冒出許多其他變種,所以,顯然黑客仍在不斷推陳出新。即使已經拘捕嫌犯,也許很快就會再出現進階的變種。

 

以下提供一些防範勒索程式的秘訣,來協助保障流動裝置資料的安全:

  • 僅從合法的應用程式商店(如 Google Play) 下載及安裝應用程式。
  • 對於應用程式所要求開放的權限要特別謹慎,尤其是允許應用程式讀寫外接儲存裝置時。
  • 定期備份資料,備份到另一個安全的裝置或雲端皆可。
  • 安裝一套具備完整防護的資訊保安軟體,可防範來自應用程式商店的威脅,防止這類程式安裝到裝置上,以免危害裝置。

 

SHA256:200d8f98c326fc65f3a11dc5ff1951051c12991cc0996273eeb9b71b27bc294d

 應用程式套件:com.android.tencent.zdevs.bah
應用程式名稱:王者荣耀辅助

SHA256:ffd539d462847bebcdff658a83f74ca7f039946bbc6c6247be2fc62dc0e4060

 應用程式套件:com.android.tencent.zdevs.bah
應用程式名稱:千变语音

SHA256:36f40d5a11d886a2280c57859cd5f22de2d78c87dcdb52ea601089745eeee494

 應用程式套件:com.android.tencent.zdevs.bah
應用程式名稱:王者荣耀前瞻版

SHA256:c347e09b1489c5b8061828526f4ce778fda8ef7fb835255914eb3c9268a265bf

 應用程式套件:com.android.tencent.zdevs.bah

應用程式名稱:千变语音秀

SHA256:cb0a18bcc8a2c9a966d3f585771db8b2e627a7b4427a889191a93b3a1b261ba3

應用程式套件com.android.tencent.zdevs.bah

應用程式名稱:主流影视大全

 


  •  
  •  
  •  

Tony Lai

IT Pro 記者。如有任何科技新聞及消息提供,歡迎電郵聯絡。

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *