关注我们

首例发生在巴西的仿冒WannaCry恶意软件

绯佳绯佳 安全文摘 2019-07-13 467413 0

背景介绍

2017年5月12日,WannaCry蠕虫在全球大爆发,引爆了互联网行业的“生化危机”。借助“永恒之蓝”高危漏洞传播的WannaCry,在数小时内横扫了近150个国家的政府机关、高校、医院等。红色的背景“桌面”席卷全球,致使多个国家的政府、教育、医院、能源、通信、交通、制造等关键信息基础设施遭受到了前所未有的破坏。

而随着WannaCry的爆发,许多勒索软件也借着WannaCry的热度与余威,通过各种仿冒WannaCry对用户进行勒索,其中也不乏移动端WannaCry仿冒软件。移动端仿冒WannaCry的勒索软件2017年就已出现,其通过仿冒“王者荣耀辅助”诱骗用户安装,勒索软件通过仿冒WannaCry勒索界面,对用户手机进行锁屏,加密用户手机文件,并通过二维码对用户进行勒索。

近日奇安信红雨滴团队,通过分析推特上发现的,巴西首例通过仿冒WannaCry勒索的移动恶意软件,该软件通过仿冒WannaCry勒索界面,向用户索要比特币,其勒索界面与2017年国内发现的“王者荣耀辅助”勒索软件类似。

但此次在巴西发现的恶意软件,相比于“王者荣耀辅助”,其UI上做了借鉴,功能上做了升级,经过分析发现其为“AhMyth ”、“WannaCry UI ”、“Banker木马”类软件的结合体。

首例发生在巴西的仿冒WannaCry恶意软件

诱饵分析

2017年国内发现的仿冒“王者荣耀辅助”的勒索软件:

首例发生在巴西的仿冒WannaCry恶意软件

近日巴西发现的仿冒WannaCry勒索软件,含有西班牙语的勒索界面:

首例发生在巴西的仿冒WannaCry恶意软件

样本信息:

首例发生在巴西的仿冒WannaCry恶意软件

样本分析

经过对该恶意软件进行分析,该恶意软件除了在UI上借鉴了WannaCry,功能上相比与国内发现的“王者荣耀辅助”已完全不同。恶意软件运行后会隐藏自身图标,并在后台通过服务端下发控制指令,对用户手机进行远控,而且其着重针对巴西境内的九大银行。其恶意行为有:获取用户手机短信、通讯录、通话记录、手机固件信息、地理位置、获取用户手机已安装的银行APP信息,对用户手机进行网络钓鱼、执行DDOS攻击、获取手机录音等。

恶意程序远控指令及含义:

控制指令指令含义
x0000gsm0,获取手机短信
1,发送短信
2,获取通话记录
3,获取通讯录
x0000bk1,获取安装的银行APP
2,加入到系统卸载程序
3,启动指定APP
4,捕获不同APP的信息
5,网络钓鱼
x0000ca-1,打开摄像机拍照
x0000fm0,获取文件名、目录
1,获取文件名、大小
x0000hk执行指定的shell命令(DDOS攻击等)
x0000lm获取地理位置
x0000mc手机录音
x0000mn获取手机固件信息

远控代码:

首例发生在巴西的仿冒WannaCry恶意软件

首例发生在巴西的仿冒WannaCry恶意软件

部分恶意代码:

首例发生在巴西的仿冒WannaCry恶意软件

首例发生在巴西的仿冒WannaCry恶意软件

恶意软件着重针对,用户手机安装的巴西各大银行软件,这个应该是攻击者的真正目的。恶意软件会获取用户手机安装的银行软件,同时会获取银行APP上个人相关的信息,针对不同的APP会有相应的不同操作。

首例发生在巴西的仿冒WannaCry恶意软件

首例发生在巴西的仿冒WannaCry恶意软件

首例发生在巴西的仿冒WannaCry恶意软件

首例发生在巴西的仿冒WannaCry恶意软件

恶意程序中监测的巴西银行APP统计:

首例发生在巴西的仿冒WannaCry恶意软件

同源分析

当PC端的WannaCry爆发以后,国内恶意软件作者,马上推出了移动端仿冒WannaCry的勒索软件“王者荣耀辅助”。这方面我们可谓走在了世界前列,“王者荣耀辅助”为前几年国内移动端勒索软件较流行的“彼岸花”系列变种,其源码也早已公开。此次在巴西发现的仿冒WannaCry恶意软件,在UI上参考了国内早期的勒索软件。

仿冒WannaCry的勒索软件“王者荣耀辅助”:

首例发生在巴西的仿冒WannaCry恶意软件

遍历用户手机文件,进行加解密操作:

首例发生在巴西的仿冒WannaCry恶意软件

首例发生在巴西的仿冒WannaCry恶意软件

勒索界面:

首例发生在巴西的仿冒WannaCry恶意软件

付费二维码:

首例发生在巴西的仿冒WannaCry恶意软件

勒索软件源码:https://github.com/coh7eiqu8thaBu/SLocker

首例发生在巴西的仿冒WannaCry恶意软件

总结

根据我们奇安信红雨滴团队的数据统计,近年来移动端的勒索软件,无论是从发现的恶意样本数量,还是从受害用户的数量来看,这类威胁目前都趋于稳定。然而移动端银行木马数量与受害人数,近年来不断增加,尤其是国外越来越多。我们的邻居韩国就是移动银行木马的重灾区,移动木马主要为Anubis、Asacub、Hqwar等木马家族的变种。此次发现针对巴西用户的,通过仿冒WannaCry的移动木马,是一个集勒索软件、银行木马、钓鱼木马等的结合体,无疑也可能是移动恶意软件未来的发展方向。作为用户时刻要注意的是,手机软件要去正规的移动商城下载。未来我们奇安信红雨滴团队,也会时刻关注这方面的恶意情报。

IOC

MD5

78c9bfea25843a0274c38086f50e8b1cba03c39ba851c2cb3ac5851b5f029b9c

C&C

https://keyprotect.ngrok.io/socket.io

参考信息

https://github.com/coh7eiqu8thaBu/SLocker

*本文作者:奇安信威胁情报中心


版权声明

本文仅代表作者观点,不代表黑白网立场。
如文章侵犯了您的权利,请通过邮箱联系我们删除。
详情查看:版权纠纷
E-Mail:server@heibai.org

喜欢1发布评论

评论列表

发表评论

  • 昵称(必填)
  • 邮箱
  • 网址