Android勒索软件分析

最新推荐文章于 2022-09-21 10:58:55 发布
最新推荐文章于 2022-09-21 10:58:55 发布
阅读量690 收藏 1
点赞数
分类专栏: 美创安全实验室
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_38103658/article/details/105731262
版权

Android勒索软件分析

0x00 前言

在2019年7月31日,安全厂商ESET的研究人员Lukas Stefanko探测到了一款针对Android用户的新型勒索软件Filecoder.C,此病毒第一次出现在Reddit和Android开发者论坛XDA Developer上,再透过受害者手机大量散布。截止至目前为止,大约有230万人次已被确认“中招”,而有趣的是即使受害者乖乖交了几百美金的“赎金”,却依然无法恢复文件。

这让我们不禁反思两个现象:

  1. 大多数人在“中招“后,由于缺少足够的应对经验和技术,往往不知所措、无从下手。在经过激烈的思想博弈后,率先认输,自认倒霉,乖乖交钱。助长了黑客的气焰不说还有可能出现”即使有密钥也无法恢复手机“的现象。
  2. 移动端的安全防护较PC端较差,暴露出的攻击面更多。同时大多用户对移动APP的攻击技术不够了解,从侧面增加黑客攻击的成功率。

由此可以得出两个结论:

  1. 移动端的安全威胁将进一步提升,以勒索软件为代表的恶意软件将进一步进入手机市场。
  2. 目前移动端市场缺少一款性能优越的防勒索软件。
0x01 手机市场勒索软件情况

以360安全中心2017年的统计数据为例,在2017年的1月至9月,平均每月捕获手机勒索软件5.5万余个。其中1月到5月手机勒索软件呈现波动式增长,6月份网警在芜湖、安阳将勒索病毒制作者男子陈某及主要传播者晋某抓获,全国首例手机勒索病毒案告破,在6月份以后新增数量急剧下降,手机勒索软件制作者得到了一定震慑作用。

在这里插入图片描述

在2018年度,新增恶意软件434.2万个,平均每天新增约1.2万个。整体呈现“前高后低“的态势,且较2017年的勒索软件数量有明显的增长。从移动威胁趋势上看,5G时代的到来将更加冲击移动端的安全环境,届时如何减少攻击面以及提升手机内部安全将成为研究的热点。

在这里插入图片描述

0x02 Android勒索软件工作原理

移动端勒索软件多伪装成一些系统功能组件,或一些特殊功能的APP(如色情软件、游戏外挂、正规应用的破解版等),诱骗用户进行安装。勒索软件通常分为两种类型:锁屏类和文件加密类,勒索软件在索要系统的一些权限后锁定用户设备或对文件进行加密,并进行敲诈。勒索类恶意软件的目的通常很明确,仅仅是为了进行不法牟利,而用户的数据安全和隐私并非不法分子所考虑的。

由此我们可以知道:勒索软件成功运行的重要前提是获取管理器权限。

锁屏类勒索软件:
在这里插入图片描述
在这里插入图片描述

Device admin是一个很危险的权限,设计之初,这个功能是用于厂家开发手机防盗功能的一个接口,只要用户安装此类APP并点击Activate,APP便具备设备管理员权限,并具备以下权限的一种或多种:

  1. 加密存储
  2. 禁用照相机
  3. 禁用锁屏相关特性
  4. 强制密码过期
  5. 锁定屏幕
  6. 限制可用密码类型
  7. 重置密码
  8. 监控密码输入的正确或错误
  9. 擦除数据

一旦用户在不了解权限的具体作用的情况下,给予了勒索软件这一超级权限,黑客可以随心所欲的对用户的手机进行锁定,重置密码等。
此类型的勒索软件,在安卓目录下的manifest.xml中显示注册一个BoardcastReceiver,同时在meta-data中添加一个额外的device_admin.xml用于声明要使用的管理员权限.

<receiver  
    android:name=".AdminReceiver"  
    android:permission="android.permission.BIND_DEVICE_ADMIN">  
    <meta-data  
        android:name="android.app.device_admin"  
        android:resource="@xml/device_admin" />  
  
    <intent-filter>  
        <action android:name="android.app.action.DEVICE_ADMIN_ENABLED" />  
    </intent-filter>  
</receiver>

届时只要用户点击了此勒索软件,便会不停的弹出窗口向用户索要权限,直至用户同意才停止弹窗。

/* Access modifiers changed, original: protected */  
public void onActivityResult(int i, int i2, Intent intent) {
     
    if (i2 == -1) {
     
        startService(new Intent(getBaseContext(), admsurprises2.class));  
    } else {
     
        mo5a();  
    }  
    super.onActivityResult(i, i2, intent);  
}  
 
/* Access modifiers changed, original: protected */  
/* renamed from: a */  
public void mo5a() {
     
    this.f7f = (DevicePolicyManager) getSystemService("device_policy");  
    if (
最低0.47元/天 解锁文章
美创安全实验室
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
Maze勒索软件的最新样本分析
systemino的博客
04-09 1437
Maze勒索软件以前也被称为“ChaCha勒索软件”,于2019年5月29日被Jerome Segura发现。 Maze的最重要特征是,如果受害者不付款,他们将在互联网上发布受害者信息。 从上图可以看出,Maze的攻击已经遍布全球。 Maze的历史 从历史上看,该恶意软件使用不同的技术来获取进入权限,主要是利用漏洞利用工具包,具有弱密码的远程桌面连接或通过电子邮件模拟,或通过不同的代理...
新型勒索软件PYSA浅析,又要如何防御??
MSB_WLAQ的博客
10-09 207
什么是勒索软件PYSA PYSA勒索软件是Mespinoza勒索软件的变种。PYSA代表“Protect Your System Amigo”,于2019年12月被首次命名,也就是Mespinoza被发现两个月后。最初被加密的文件被Mespinoza使用 .locked作为扩展名,然后转而使用 .pysa作为后缀,目前此勒索软件可能会交替使用PYSA和Mespinoza 这两个名称来命名被加密的文件。 PYSA与许多已知的勒索软件系列一样,被归类为勒索软件即服务(RaaS)工具。这意味着其开发人员已将这
Android勒索软件研究报告
weixin_30682127的博客
04-20 414
Android勒索软件研究报告 Author:360移动安全团队 0x00 摘要 手机勒索软件是一种通过锁住用户移动设备,使用户无法正常使用设备,并以此胁迫用户支付解锁费用的恶意软件。其表现为手机触摸区域不响应触摸事件,频繁地强制置顶页面无法切换程序和设置手机PIN码。 手机勒索软件的危害除了勒索用户钱财,还会破坏用户数据和手机系统。 手机勒索软件最...
android勒索软件,安卓勒索软件最新伎俩
weixin_35944230的博客
06-03 172
导读微软安全专家声称已经发现了安卓勒索软件使用的最新伎俩。在一篇博客文章中,微软365 Defender研究团队详细介绍了一种新的勒索软件变种如何找到了一种新的方法,颠覆了安卓系统的内置保护机制,锁定设备,并将其扣押在勒索之下。微软Defender for Endpoint检测到的勒索软件AndroidOS/MalLocker.B,对于Android勒索软件来说并不罕见,因为它实际上并没有加密受...
对一个手机勒索病毒的分析
不忘初心,护天下安全!
02-15 1031
学自吾爱破解中一个大神的文章,得其经验,我们先把勒索病毒抛到虚拟机里玩: 开始启动看看: 允许一下看看: 真的是可以哈哈哈。 将此apk文件后缀改成zip,用压缩文件查看器可以查看器中的文件组成。 在assets文件目录下发现了一个ijm-x86.so文件: 因为病毒会加壳,而这个ijm-x86.so后缀so改为zip,打开,可以看到里面的文件格式和apk的内部文件格...
Android勒索软件防护技术研究.pdf
09-21
Android勒索软件防护技术研究 Android勒索软件防护技术研究是指保护Android系统免受勒索软件攻击的技术和方法。随着智能终端的普及,勒索软件攻击日益严重,对用户和企业带来了极大的隐私和安全威胁。为避免勒索...
SLocker:SLocker Android勒索软件的源代码-android source code
03-25
以下将详细阐述SLocker Android勒索软件的主要特点、工作流程以及相关知识点。 1. **恶意软件分类**:SLocker属于移动平台上的勒索软件,它的目标是通过加密用户设备上的数据来勒索赎金。这种类型的恶意软件通常...
勒索软件攻击Android设备 索要Apple iTunes礼品卡.pdf
09-21
勒索软件攻击Android设备索要Apple iTunes礼品卡 在移动设备安全领域中,勒索软件攻击 android 设备是一种非常常见的威胁形式。作为一名IT行业大师,我将对勒索软件攻击android设备的原理、类型、防御方法以及案例...
勒索软件Android 0day漏洞检测沙箱系统的设计与实现 - 安全架构.zip
12-01
然而,随着其普及度的增加,针对Android系统的恶意软件,尤其是勒索软件,也日益猖獗。其中,Android 0day漏洞,即未被公开且尚未有补丁的漏洞,由于其未知性和隐蔽性,对用户的数据安全构成了巨大威胁。因此,构建...
加密勒索软件分析
JD san的博客
04-29 743
http://www.4hou.com/typ/8445.html 加密勒索软件分析
cerber勒索软件分析
pureman_mega的博客
01-18 700
前置 关于对称/非对称加密:对称加密和非对称加密的区别 - 姚春辉 - 博客园 (cnblogs.com) 常见的对称加密算法有:DES、3DES、Blowfish、IDEA、RC4、RC5、RC6 和 AES 常见的非对称加密算法有: RSA、ECC(移动设备用)、Diffie-Hellman、El Gamal、DSA(数字签名用) ...
Android勒索病毒分析报告-王者荣耀刷皮肤
精彩的艺术
02-28 2348
病毒名称: a.rogue.clownjokes.q 文件名称: 王者荣耀刷皮肤 文件MD5: CB9E3C9C5CDED91F96AA9662BA150DB8 文件包名: com.android.getbest 危害属性:流氓行为、恶意欺诈。 病毒描述: 该程序是一款仿冒王者荣耀皮肤获取的病毒软件,程序启动后显示王者荣耀的图标,诱骗用户激活设备管理器保护自身以免被卸载,并
2017勒索软件威胁形势分析报告
实验楼
01-04 972
关注「实验楼」,每天分享一个项目教程   2017年1-11月,360互联网安全中心共截获电脑端新增勒索软件变种183种,新增控制域名238个。全国至少有472.5多万台用户电脑遭到了勒索软件攻击,平均每天约有1.4万台国内电脑遭到勒索软件攻击。正文共:1832 字 预计阅读时间:5 分钟2017年勒索软件攻击特点2017年5月,影响全球的勒索软件永恒之蓝勒索蠕虫(WannaCry)大规模爆发。它
安卓勒索软件进一步扩散
weixin_33763244的博客
12-05 128
勒索软件在网络中有着自己的一种“魅力”,自2014年从多平台开始不断的增长。安卓用户已经成为各种勒索软件的目标,最常见的就是假冒警察去吓唬那些受害者要收缴他们设备上的非法内容。 最流行的网络攻击媒介“网络诈骗”从开始流行到现在一直没有改变。这是滥用非官方市场和论坛去传播推荐或者变异的恶意代码造成的。 但从2016以来网络上的犯罪分子的手法更多,更加...
勒索病毒分析报告
qq_43572067的博客
11-01 3720
样本信息 病毒名称:勒索病毒 所属家族:恶意勒索 MD5值:DBD5BEDE15DE51F6E5718B2CA470FC3F SHA1值:863F5956863D793298D92610377B705F85FA42B5 CRC32:1386DD7A 病毒行为: 将自身拷贝到C:\Users\15pb-win7\Documents\,并将其设置注册表启动项。 设置为cmd命令行方式启动自身 运行过程...
国内 Android 手机典型勒索软件详情分析(附解锁方法)
weixin_34249367的博客
04-10 294
事件说明 2017年2月13-17日,RSA Conference 2017信息安全大会在美国旧金山Moscone中心隆重举行。大会第一天就是一系列关于Ransomware(勒索软件)的议题,而在刚刚过去的2016年,“MongDB数据库网络勒索事件”,“ElasticSearch数据库网络勒索 事件”,网络勒索问题已成为互联网安全的重点关注问题之一。...
勒索软件:进化、分类和防御解决方案综述
Chahot的博客
09-21 1654
近年来,一种独特的恶意软件,即勒索软件,所涉及的事件数量急剧增加。这种臭名昭著的恶意软件不仅针对普通终端用户,还针对政府和几乎任何行业的商业组织。众多事件包括财富500公司[185]、银行[51]、云提供商[52]、芯片制造商[159]、邮轮运营商[177]、威胁监测服务[93]、政府[3,194]、医疗中心和医院[54]、学校[4]、大学[137],甚至警察部门[69]。据预测,由于勒索软件给组织造成的总损失将会持续到2021年,每11秒就会有一个新组织受到这些攻击[72]。
关于Android锁屏勒索分析
qq_27267071的博客
03-15 952
时光荏苒,白驹过隙。转眼之前已经毕业了两年,个人比较懒散,最近萌生记录工作的一些内容或者做一点分享。今天想做一个Android锁屏勒索应用分析 随手推荐两份安全年报 1.http://www.aqniu.com/industry/23417.html 2.http://blogs.360.cn/360mobile/2017/02/28/review_android_malware_of_201
Android手机软件开发设计项目说明书.doc
最新发布
11-19
Android手机软件开发设计项目说明书.doc

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值