假冒永恒之蓝的手机勒索软件详细分析

Andy0214

报告名称：假冒永恒之蓝的手机勒索软件详细分析                                                 作者：Andy 报告更新日期：2017年6月11日 样本发现日期：2017年6月9日 样本文件大小／被感染文件变化长度：110,131 字节 样本文件MD5 校验值：24009955BB6951B7CBE32862DEA5DACE 样本文件SHA1 校验值：83E60C3C2B3FDEE07722373442472CA1F2FADD80 壳信息： 可能受到威胁的系统：Android 名称：播放器插件 包名：com.fhn 主要描述：样本是一款很普通的锁机软件，但是解锁码不像一般锁机软件直接明文写出，经过简单的算法处理，该锁机软件一旦安装，如果不能正常解锁，手机将处于长期锁机状态，不能使用；软件启动后就会获取最高权限，引导用户激活设备管理器，正常无法卸载；该锁机软件还有过分了勒索话语，欺诈用户的文字，模仿永恒之蓝的诈骗语句，其实都是忽悠人的。 详细分析：   0x00 运行界面   0x01 获取权限 android.permission.INTERNET 已声明 未使用 访问网络连接，可能产生GPRS流量 android.permission.ACCESS_NETWORK_STATE 已声明 已使用 获取网络信息状态，如当前的网络连接是否有效 android.permission.RECEIVE_BOOT_COMPLETED 已声明 未使用 允许程序开机自动运行 android.permission.MOUNT_UNMOUNT_FILESYSTEMS 已声明 未使用 挂载、反挂载外部文件系统 android.permission.SYSTEM_ALERT_WINDOW 已声明 未使用 显示系统窗口 android.permission.VIBRATE 已声明 已使用 允许振动 android.permission.WRITE_EXTERNAL_STORAGE 已声明 未使用 允许程序写入外部存储   0x02 具体行为 锁机软件启动后引导用户激活设备管理器，将自己写好的界面置顶。 代码结构和之前的一样，应该是出自同一人，一些赘述就不在这里一一写出来了，不清楚的可以看之前的文章。 这人是不嫌麻烦，搞了一大堆包就为了误导用户，也是用心良苦啊 上图就是真正要关心的PIN值，之前说过拿到锁机之后先强行重启手机，完了之后看锁机界面会不会消失，如果消失了，自然就到了PIN值界面，我们只需要找到PIN值解锁即可我把上述代码整理了一下，得到PIN值如下： 其中唯一一点就是S2在中间过程变成了0，是因为取0-1之间随机数然后取整等于0，所以S2为0.此次用户使用的支付方式不再是qq、微信，说明作者提高警惕了，使用的第三方支付界面，需要用户自己登陆界面去买一件50元的虚拟产品，该产品周末已经下架。 上图的链接已经失效。   0x03 技术热点 该锁机软件没有什么新颖的手段，只是用了最简单的方法蒙蔽用户，首先写了一大堆的包，里面包含各种锁机的解锁密码，误导用户浪费时间； 其次就是对PIN值用简单的算法计算，其中弄了一个随机数取整为0； 再就是将以往使用的支付方式摒弃，使用新的第三方支付界面，避免自己信息被追查。   0x04 安全建议 从正规的应用商城下载应用，不随意点击别人给的下载链接 不贪小便宜，不要下载所谓的红包、刷钻、王能软件之类的应用 对自己不清楚的软件最好先使用模拟器安装，如果正常在安装亦无妨   0x06 意外发现 通过样本的传播地址（http://www.9yse.com/nhb.apk），发现了病毒传播首页，做的是相当丑啊，界面也是相当污，就不截图了，自己看看行了。可别手贱，弄得自己手机数据被窃取，手机被锁屏，然后被勒索钱财就完蛋了； 病毒锁机界面有一个地址，是用来支付的（http://www.see8.xyz/），看见了吧，都是se，俗话说得好“色字头上一把刀”，小心了； 进入样本下载地址可以发现样本是用某某网盘存储的，这也是垃圾软件最喜欢的存储方式。 下面几张图是简单的跟踪，并无效果： 有兴趣的网友可以继续跟踪，欢迎分享。 小白作品，大神不喜勿碰，谢谢。

whlvd

人才呀，这个也山寨

zhatian

9yse这个网站页面是真的丑。。

chinaboy008

支持！！～这分析厉害！

jun57663796

膜拜 大神啊

pjext

技术好贴，顶你

Andy0214

whlvd 发表于 2017-6-12 11:14
人才呀，这个也山寨

谢谢支持，求评分

zhengsidie

模拟器1已牺牲...

zxszby

那么简单的诱惑居然有人中招........

day2up

越简单的传播得越快，现在的人有几个愿意花时间了解问题。