首例发生在巴西的仿冒WannaCry恶意软件

Track-SSG   ·   发表于 2019-07-03 11:03:15   ·   漏洞文章

背景介绍

2017年5月12日,WannaCry蠕虫在全球大爆发,引爆了互联网行业的“生化危机”。借助“永恒之蓝”高危漏洞传播的WannaCry,在数小时内横扫了近150个国家的政府机关、高校、医院等。红色的背景“桌面”席卷全球,致使多个国家的政府、教育、医院、能源、通信、交通、制造等关键信息基础设施遭受到了前所未有的破坏。

而随着WannaCry的爆发,许多勒索软件也借着WannaCry的热度与余威,通过各种仿冒WannaCry对用户进行勒索,其中也不乏移动端WannaCry仿冒软件。移动端仿冒WannaCry的勒索软件2017年就已出现,其通过仿冒“王者荣耀辅助”诱骗用户安装,勒索软件通过仿冒WannaCry勒索界面,对用户手机进行锁屏,加密用户手机文件,并通过二维码对用户进行勒索。

近日奇安信红雨滴团队,通过分析推特上发现的,巴西首例通过仿冒WannaCry勒索的移动恶意软件,该软件通过仿冒WannaCry勒索界面,向用户索要比特币,其勒索界面与2017年国内发现的“王者荣耀辅助”勒索软件类似。

但此次在巴西发现的恶意软件,相比于“王者荣耀辅助”,其UI上做了借鉴,功能上做了升级,经过分析发现其为“AhMyth ”、“WannaCry UI ”、“Banker木马”类软件的结合体。

 

诱饵分析

2017年国内发现的仿冒“王者荣耀辅助”的勒索软件:


近日巴西发现的仿冒WannaCry勒索软件,含有西班牙语的勒索界面:


样本信息:

文件名称Google Protect
软件名称Google Protect
软件包名com.google.protect
MD578C9BFEA25843A0274C38086F50E8B1C
安装图标

 

样本分析

经过对该恶意软件进行分析,该恶意软件除了在UI上借鉴了WannaCry,功能上相比与国内发现的“王者荣耀辅助”已完全不同。恶意软件运行后会隐藏自身图标,并在后台通过服务端下发控制指令,对用户手机进行远控,而且其着重针对巴西境内的九大银行。其恶意行为有:获取用户手机短信、通讯录、通话记录、手机固件信息、地理位置、获取用户手机已安装的银行APP信息,对用户手机进行网络钓鱼、执行DDOS攻击、获取手机录音等。

恶意程序远控指令及含义:

控制指令指令含义
x0000gsm0,获取手机短信
1,发送短信
2,获取通话记录
3,获取通讯录
x0000bk1,获取安装的银行APP
2,加入到系统卸载程序
3,启动指定APP
4,捕获不同APP的信息
5,网络钓鱼
x0000ca-1,打开摄像机拍照
x0000fm0,获取文件名、目录
1,获取文件名、大小
x0000hk执行指定的shell命令(DDOS攻击等)
x0000lm获取地理位置
x0000mc手机录音
x0000mn获取手机固件信息

远控代码:

部分恶意代码:

恶意软件着重针对,用户手机安装的巴西各大银行软件,这个应该是攻击者的真正目的。恶意软件会获取用户手机安装的银行软件,同时会获取银行APP上个人相关的信息,针对不同的APP会有相应的不同操作。

恶意程序中监测的巴西银行APP统计:

包名应用名称图标
br.com.bb.androidBanco do Brasil

 

巴西银行

com.bradescoBanco Bradesco SA

 

巴西布拉德斯科银行

com.itauBanco Itaú

 

伊塔岛銀行

com.itau.empresasItaú Empresas

 

伊塔岛联合银行

com.santander.appSantander

 

桑坦德銀行

com.santandermovelempresarial.appSantander Empresas

 

桑坦德銀行

br.com.bradesco.nextbanco next

 

 

br.com.original.bankBanco Original

 

 

br.com.intermediumBanco Inter

 

 

同源分析

当PC端的WannaCry爆发以后,国内恶意软件作者,马上推出了移动端仿冒WannaCry的勒索软件“王者荣耀辅助”。这方面我们可谓走在了世界前列,“王者荣耀辅助”为前几年国内移动端勒索软件较流行的“彼岸花”系列变种,其源码也早已公开。此次在巴西发现的仿冒WannaCry恶意软件,在UI上参考了国内早期的勒索软件。

仿冒WannaCry的勒索软件“王者荣耀辅助”:

遍历用户手机文件,进行加解密操作:

勒索界面:


付费二维码:

勒索软件源码:

https://github.com/coh7eiqu8thaBu/SLocker

 

总结

根据我们奇安信红雨滴团队的数据统计,近年来移动端的勒索软件,无论是从发现的恶意样本数量,还是从受害用户的数量来看,这类威胁目前都趋于稳定。然而移动端银行木马数量与受害人数,近年来不断增加,尤其是国外越来越多。我们的邻居韩国就是移动银行木马的重灾区,移动木马主要为Anubis、Asacub、Hqwar等木马家族的变种。此次发现针对巴西用户的,通过仿冒WannaCry的移动木马,是一个集勒索软件、银行木马、钓鱼木马等的结合体,无疑也可能是移动恶意软件未来的发展方向。作为用户时刻要注意的是,手机软件要去正规的移动商城下载。未来我们奇安信红雨滴团队,也会时刻关注这方面的恶意情报。

 

IOC

MD5

78c9bfea25843a0274c38086f50e8b1c

ba03c39ba851c2cb3ac5851b5f029b9c

C&C

https://keyprotect.ngrok.io/socket.io


本文由安全客原创发布                                
转载自安全客 - 有思想的安全新媒体


打赏我,让我更有动力~

0 条回复   |  直到 2019-7-3 | 1098 次浏览
登录后才可发表内容
返回顶部 投诉反馈

© 2016 - 2024 掌控者 All Rights Reserved.