forked from Trietptm-on-Security/WooYun-2
-
Notifications
You must be signed in to change notification settings - Fork 7
/
Android敲诈病毒分析.html
128 lines (74 loc) · 116 KB
/
Android敲诈病毒分析.html
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
<html>
<head>
<title>Android敲诈病毒分析 - 腾讯电脑管家</title>
<meta http-equiv="content-type" content="text/html; charset=UTF-8">
</head>
<body>
<h1>原文地址:<a href="http://drops.wooyun.org/mobile/5210">http://drops.wooyun.org/mobile/5210</a></h1>
<p>
<h1>0x00 前言</h1>
<hr />
<p>最近哈勃文件系统捕获一批FBI敲诈病毒及其变种,该类病毒通过色情网址诱导用户下载安装,一旦用户安装运行,病毒会强制置顶自身并显示恐吓信息,对用户进行敲诈勒索。</p>
<h1>0x01 传播途径</h1>
<hr />
<p>通过色情网址诱导用户下载安装。</p>
<p>程序安装后的图标:</p>
<p><img src="http://static.wooyun.org/20150313/2015031308370655124.png" alt="enter image description here" /></p>
<!--more-->
<h1>0x02 恶意行为概述</h1>
<hr />
<p>当访问色情网址时,会诱导用户下载安装该恶意样本。一旦安装,duang~,不幸发现自己中了大招,手机变砖头了。</p>
<p>恶意病毒将强制将自身置顶,无论是按HOME键,还是关机重启,完全不管用,敲诈恐吓信息始终在那里:显示虚假恐吓信息,敲诈用户支付$500金额的MonkeyPak。</p>
<p><img src="http://static.wooyun.org/20150313/2015031308370695571.png" alt="enter image description here" /></p>
<p><img src="http://static.wooyun.org/20150313/2015031308370752571.png" alt="enter image description here" /></p>
<p>病毒的恶意行为:</p>
<h3>1. 样本首先会添加设备管理器:</h3>
<hr />
<p><img src="http://static.wooyun.org/20150313/2015031308370739027.png" alt="enter image description here" /></p>
<h2>2. 强制将自身置顶:</h2>
<hr />
<p><img src="http://static.wooyun.org/20150313/2015031308370765841.png" alt="enter image description here" /></p>
<p><img src="http://static.wooyun.org/20150313/2015031308370798077.png" alt="enter image description here" /></p>
<h3>3. 打开前置摄像头并拍照、获取添加账户的邮箱列表及手机硬件信息:</h3>
<hr />
<p><img src="http://static.wooyun.org/20150313/2015031308370856529.png" alt="enter image description here" /></p>
<p><img src="http://static.wooyun.org/20150313/2015031308370870859.png" alt="enter image description here" /></p>
<h3>4. 将第三步获取的信息、相关命令字以及输入的MoneyPak号等信息加密后上传到服务器:</h3>
<hr />
<p><img src="http://static.wooyun.org/20150313/2015031308370875809.png" alt="enter image description here" /></p>
<h3>5. 分析样本文件发现,恶意应用的制作者在验证MoneyPak可用时,会将服务器的返回信息中的status项的值置为77并保存在配置文件里,远程控制病毒程序退出:</h3>
<hr />
<p><img src="http://static.wooyun.org/20150313/2015031308370835221.png" alt="enter image description here" /></p>
<p>由以上分析可知,一旦中了该病毒,用户就没有机会进入手机,更无法启动杀软来清除、修复。那这个时候,手机变砖了吗?当然不是。哈勃分析系统发现这个病毒之后,决定第一时间要为用户解决这个难题,用最快的时间来出(jia)专(te)杀(ji)。 用户可以在http://habo.qq.com/Download/FBIVirusKiller下载FBI敲诈病毒专杀工具,按照工具的指引即可快速清除病毒。</p>
<p><img src="http://static.wooyun.org/20150313/2015031308370841109.png" alt="enter image description here" /></p>
<p>使用专杀工具的前提是手机开启了“USB调试”(有人会担心手机没有ROOT怎么办,这里特别强调一下,未ROOT的手机也可以完美解决)。 如果不满足专杀工具的使用条件,可以尝试采用如下步骤手动清除:</p>
<h3>1. 关闭手机后,重新启动进入安全模式</h3>
<hr />
<p>
主流安卓手机进入安全模式的方式是,按住【电源键】开机,直到屏幕上出现品牌LOGO或运营商画面后,按住【音量减少】键不放。如果进入安全模式成功,锁屏界面的左下角会显示“安全模式”字样。</p>
<p><img src="http://static.wooyun.org/20150313/2015031308370936518.jpg" alt="enter image description here" /></p>
<h3>2. 进入设置-安全-设备管理器,找到病毒程序并取消激活</h3>
<hr />
<p><img src="http://static.wooyun.org/20150313/2015031308370930786.jpg" alt="enter image description here" /></p>
<p><img src="http://static.wooyun.org/20150313/2015031308371067196.jpg" alt="enter image description here" /></p>
<h3>3. 进入设置-应用或应用程序,找到病毒程序并卸载</h3>
<hr />
<p><img src="http://static.wooyun.org/20150313/2015031308371079300.jpg" alt="enter image description here" /></p>
<h3>4. 重启手机,进入正常模式,发现病毒程序已经被卸载了。</h3>
<h1>0x03 给用户的安全建议</h1>
<hr />
<ul>
<li>
<ol>
<li>广大用户手机一定要安装安全软件,在病毒感染手机前就可以发现其危险,避免安装病毒后给您带来损失。目前腾讯电脑管家、手机管家、哈勃分析系统均能准确识别此类病毒;</li>
</ol></li>
<li>
<ol>
<li>在可靠的安卓市场上下载手机应用,不要安装论坛或朋友转发的手机应用;</li>
</ol></li>
<li>
<ol>
<li>不要下载内容不健康的手机应用,如色情播放器类应用。</li>
</ol></li>
</ul> </p>
</body>
</html>