首例发生在巴西的仿冒WannaCry恶意软件

栏目: 编程工具 · 发布时间: 5年前

内容简介:2017年5月12日,WannaCry蠕虫在全球大爆发,引爆了互联网行业的“生化危机”。借助“永恒之蓝”高危漏洞传播的WannaCry,在数小时内横扫了近150个国家的政府机关、高校、医院等。红色的背景“桌面”席卷全球,致使多个国家的政府、教育、医院、能源、通信、交通、制造等关键信息基础设施遭受到了前所未有的破坏。而随着WannaCry的爆发,许多勒索软件也借着WannaCry的热度与余威,通过各种仿冒WannaCry对用户进行勒索,其中也不乏移动端WannaCry仿冒软件。移动端仿冒WannaCry的勒索

首例发生在巴西的仿冒WannaCry恶意软件

背景介绍

2017年5月12日,WannaCry蠕虫在全球大爆发,引爆了互联网行业的“生化危机”。借助“永恒之蓝”高危漏洞传播的WannaCry,在数小时内横扫了近150个国家的政府机关、高校、医院等。红色的背景“桌面”席卷全球,致使多个国家的政府、教育、医院、能源、通信、交通、制造等关键信息基础设施遭受到了前所未有的破坏。

而随着WannaCry的爆发,许多勒索软件也借着WannaCry的热度与余威,通过各种仿冒WannaCry对用户进行勒索,其中也不乏移动端WannaCry仿冒软件。移动端仿冒WannaCry的勒索软件2017年就已出现,其通过仿冒“王者荣耀辅助”诱骗用户安装,勒索软件通过仿冒WannaCry勒索界面,对用户手机进行锁屏,加密用户手机文件,并通过二维码对用户进行勒索。

近日奇安信红雨滴团队,通过分析推特上发现的,巴西首例通过仿冒WannaCry勒索的移动恶意软件,该软件通过仿冒WannaCry勒索界面,向用户索要比特币,其勒索界面与2017年国内发现的“王者荣耀辅助”勒索软件类似。

但此次在巴西发现的恶意软件,相比于“王者荣耀辅助”,其UI上做了借鉴,功能上做了升级,经过分析发现其为“AhMyth ”、“WannaCry UI ”、“Banker木马”类软件的结合体。

首例发生在巴西的仿冒WannaCry恶意软件

诱饵分析

2017年国内发现的仿冒“王者荣耀辅助”的勒索软件:

首例发生在巴西的仿冒WannaCry恶意软件

首例发生在巴西的仿冒WannaCry恶意软件

近日巴西发现的仿冒WannaCry勒索软件,含有西班牙语的勒索界面:

首例发生在巴西的仿冒WannaCry恶意软件

首例发生在巴西的仿冒WannaCry恶意软件

首例发生在巴西的仿冒WannaCry恶意软件

首例发生在巴西的仿冒WannaCry恶意软件

样本信息:

文件名称 Google Protect
软件名称 Google Protect
软件包名 com.google.protect
MD5 78C9BFEA25843A0274C38086F50E8B1C
安装图标 首例发生在巴西的仿冒WannaCry恶意软件

样本分析

经过对该恶意软件进行分析,该恶意软件除了在UI上借鉴了WannaCry,功能上相比与国内发现的“王者荣耀辅助”已完全不同。恶意软件运行后会隐藏自身图标,并在后台通过服务端下发控制指令,对用户手机进行远控,而且其着重针对巴西境内的九大银行。其恶意行为有:获取用户手机短信、通讯录、通话记录、手机固件信息、地理位置、获取用户手机已安装的银行APP信息,对用户手机进行网络钓鱼、执行DDOS攻击、获取手机录音等。

恶意程序远控指令及含义:

控制指令 指令含义
x0000gsm 0,获取手机短信
1,发送短信
2,获取通话记录
3,获取通讯录
x0000bk 1,获取安装的银行APP
2,加入到系统卸载程序
3,启动指定APP
4,捕获不同APP的信息
5,网络钓鱼
x0000ca -1,打开摄像机拍照
x0000fm 0,获取文件名、目录
1,获取文件名、大小
x0000hk 执行指定的 shell 命令(DDOS攻击等)
x0000lm 获取地理位置
x0000mc 手机录音
x0000mn 获取手机固件信息

远控代码:

首例发生在巴西的仿冒WannaCry恶意软件

首例发生在巴西的仿冒WannaCry恶意软件

部分恶意代码:

首例发生在巴西的仿冒WannaCry恶意软件

首例发生在巴西的仿冒WannaCry恶意软件

恶意软件着重针对,用户手机安装的巴西各大银行软件,这个应该是攻击者的真正目的。恶意软件会获取用户手机安装的银行软件,同时会获取银行APP上个人相关的信息,针对不同的APP会有相应的不同操作。

首例发生在巴西的仿冒WannaCry恶意软件

首例发生在巴西的仿冒WannaCry恶意软件

首例发生在巴西的仿冒WannaCry恶意软件

首例发生在巴西的仿冒WannaCry恶意软件

恶意程序中监测的巴西银行APP统计:

包名 应用名称 图标
br.com.bb.android

巴西银行

首例发生在巴西的仿冒WannaCry恶意软件
com.bradesco

巴西布拉德斯科银行

首例发生在巴西的仿冒WannaCry恶意软件
com.itau

伊塔岛銀行

首例发生在巴西的仿冒WannaCry恶意软件
com.itau.empresas

伊塔岛联合银行

首例发生在巴西的仿冒WannaCry恶意软件
com.santander.app

桑坦德銀行

首例发生在巴西的仿冒WannaCry恶意软件
com.santandermovelempresarial.app

桑坦德銀行

首例发生在巴西的仿冒WannaCry恶意软件
br.com.bradesco.next banco next 首例发生在巴西的仿冒WannaCry恶意软件
br.com.original.bank Banco Original 首例发生在巴西的仿冒WannaCry恶意软件
br.com.intermedium Banco Inter 首例发生在巴西的仿冒WannaCry恶意软件

同源分析

当PC端的WannaCry爆发以后,国内恶意软件作者,马上推出了移动端仿冒WannaCry的勒索软件“王者荣耀辅助”。这方面我们可谓走在了世界前列,“王者荣耀辅助”为前几年国内移动端勒索软件较流行的“彼岸花”系列变种,其源码也早已公开。此次在巴西发现的仿冒WannaCry恶意软件,在UI上参考了国内早期的勒索软件。

仿冒WannaCry的勒索软件“王者荣耀辅助”:

首例发生在巴西的仿冒WannaCry恶意软件

遍历用户手机文件,进行加解密操作:

首例发生在巴西的仿冒WannaCry恶意软件

首例发生在巴西的仿冒WannaCry恶意软件

勒索界面:

首例发生在巴西的仿冒WannaCry恶意软件

付费二维码:

首例发生在巴西的仿冒WannaCry恶意软件

勒索软件源码:

https://github.com/coh7eiqu8thaBu/SLocker

首例发生在巴西的仿冒WannaCry恶意软件

总结

根据我们奇安信红雨滴团队的数据统计,近年来移动端的勒索软件,无论是从发现的恶意样本数量,还是从受害用户的数量来看,这类威胁目前都趋于稳定。然而移动端银行木马数量与受害人数,近年来不断增加,尤其是国外越来越多。我们的邻居韩国就是移动银行木马的重灾区,移动木马主要为Anubis、Asacub、Hqwar等木马家族的变种。此次发现针对巴西用户的,通过仿冒WannaCry的移动木马,是一个集勒索软件、银行木马、钓鱼木马等的结合体,无疑也可能是移动恶意软件未来的发展方向。作为用户时刻要注意的是,手机软件要去正规的移动商城下载。未来我们奇安信红雨滴团队,也会时刻关注这方面的恶意情报。

IOC

MD5

78c9bfea25843a0274c38086f50e8b1c

ba03c39ba851c2cb3ac5851b5f029b9c

C&C

https://keyprotect.ngrok.io/socket.io

参考信息

https://github.com/coh7eiqu8thaBu/SLocker


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

MySQL必知必会

MySQL必知必会

[英] Ben Forta / 刘晓霞、钟鸣 / 人民邮电出版社 / 2009-1 / 39.00元

《MySQL必知必会》MySQL是世界上最受欢迎的数据库管理系统之一。书中从介绍简单的数据检索开始,逐步深入一些复杂的内容,包括联结的使用、子查询、正则表达式和基于全文本的搜索、存储过程、游标、触发器、表约束,等等。通过重点突出的章节,条理清晰、系统而扼要地讲述了读者应该掌握的知识,使他们不经意间立刻功力大增。一起来看看 《MySQL必知必会》 这本书的介绍吧!

RGB转16进制工具
RGB转16进制工具

RGB HEX 互转工具

Markdown 在线编辑器
Markdown 在线编辑器

Markdown 在线编辑器

HEX HSV 转换工具
HEX HSV 转换工具

HEX HSV 互换工具