2015 Android 恶意软件威胁报告（上）

执行摘要

勒索软件在过去几年中一直困扰着Windows PC，但最近，勒索软件的平台已经不局限于Windows系统，它的魔爪已经伸向了Linux和Android。

虽然这两个平台上的勒索软件不如Windows中的先进，但是Android勒索软件仍然会造成严重 后果，造成使用中断甚至造成严重的经济损失。Bitdefender的Android遥测技术测出了受害设备的数量，其结果显示在英国、德国和澳大利亚的图标中排名第一的勒索软件是Android.Trojan.Slocker勒索软件家族。

Android勒索软件可能造成的后果比在PC中更加严重，因为移动设备中储存了更多没有备份过的个人信息、甚至企业数据。由于这些丢失的数据或者这些被拒绝访问的数据是不可逆的，用户更倾向于付费恢复联系人、信息对话、图片和文件。

重要调查结果

全球19.55%的威胁都是伪造app，这些app安装了恶意软件或者很容易被攻击； 全球45.53%的Android勒索软件都指向美国； 全球78.36%的SMS-sending恶意软件目标都是美国用户； 勒索软件最多的国家是德国，其次是英国和澳大利亚；

勒索软件收益丰厚

2015年9月，Bitdefender研究表明，被勒索的受害人愿意支付$500收回数据。

无论是Android勒索、Windows勒索、甚至Linux勒索，这种恶意软件服务已经成为了一个经济产业，攻击者会想方设法把恶意软件发送给愿意付钱的潜在受害用户。

举个例子，PC端的Cryptolocker/Cryptowall勒索软件被报道以$3000出售，这种商业模式对客户和恶意软件开发者都非常有利。如果有一个更加有效的分销方法，更多的受害者会被感染，结果就是这种投资的收益会非常巨大。

Linux勒索软件是一种最新的恶意软件类型，因为它很容易出现加密漏洞、允许用户不支付赎金就恢复数据，所以它很容易被安全研究人员忽略，但是他们一致认为未来迭代中Linux勒索软件可能会变的更加复杂、通用。

随着基于Linux的服务器上运行了越来越多的网络基础设施，勒索软件感染Linux服务器并锁定Web服务器的结果可能比预期更具破坏性。

移动操作系统的市场份额最大，Android上的勒索软件也被发现试图锁定装置，并越来越难从迭代中去除。

Android设备扩散

全球Android设备的数量在过去几年中一直稳步增长，根据出货量估计，2015年市场上出售了12亿Android机。2014年，这个数字在11亿左右。Android设备出售量变缓意味着手机数量趋于饱和，我们能够从数据中得知，大量的设备都在使用Google的移动操作系统。

由于越来越多的用户接受了Android系统，其市场份额不断增加，恶意软件开发者也把目光转向Android并将其利益最大化。恶意软件作者看到了和几年前PC恶意软件同样的发展趋势。

如果一开始恶意软件开发者正在开发的软件更倾向于损害受害者利益而不是破坏性，今天的PC威胁会和Android威胁一样非常严重，因为PC端中的恶意软件也会窃取用户数据索取金钱，而不仅仅是对用户的PC进行破坏。

2015年，81%的市场份额鼓励恶意软件开发者暗中通过收集数据或对受害者进行金钱勒索对移动OS平台进行攻击。

Android勒索进化

因为Android操作系统比其他操作系统更加灵活，它允许用户从不受信任或未经授权的源加载应用，这对于Android平台来说也是一种新的开放式威胁。

虽然现在受到攻击的用户量不大，但是一些臭名昭著的Android勒索软件变体已经开始在媒体中活动。一些简单的假冒软件、勒索软件都藏在了简单的应用程序里面，这些app已经发展到用命令和控制服务器发送指令给每个受害者，然后接收个人信息，将推送更新到受感染的设备。

1.伪装应用和假冒软件

2013年发现的第一个Android勒索软件变种并不像PC端的勒索软件这么成熟，它的目的是伪装成一个合法的应用让用户以为自己的手机被感染了，他们的数据被窃取了。"修复"这中威胁需要支付"全额执照"，也就是支付安全解决方案移除所有的已查明的恶意软件的费用。当然，如果用户试图手动删除这种伪装应用，他就会发现应用的进程是无法被kill掉的。

PC端勒索软件Reveton/IcePol背后的恶意软件开发小组也开发了一些相似的应用在Android设备上的勒索软件。一个伪装成可以访问色情内容的视频播放器。与Windows中的勒索软件不同的是，Android系统中的恶意软件确实需要用户交互以安装能够承载恶意软件的apk文件来迷惑高级用户，但是只能欺骗少数不懂技术的受害者。

一旦安装成功，它就开始向受害者的命令和控制服务器发送IMEI number，然后fetch一个写有受害者应该支付多少钱的.HTML网页以重新获得他们的设备消息。

由于实际的消息是在屏幕顶端的浏览器窗口中显示的，删除应用的关键在于它再次弹出或在安全模式下启动设备前快速卸载。

虽然这种变体实际上没有对任何设备上的数据进行加密，但是它表明在未来的时间里，恶意软件开发者的兴趣会是使用相同恐吓策略攻击Android设备。

2.PIN Lockers

另一种创新的勒索方式叫PIN Locker，这是一种可以更改设备PIN lock的勒索软件，解锁需要高达$500。

它通过冒充系统更新获取设备管理员权限，并且可以随机生成PIN锁修改原来的密码。到现在为止，勒索软件都是通过恐吓用户获得赎金的，所以新的方法更加狡猾。

重新获得设备访问权限，而不会丢失所有存储的数据需要攻击者先获得用户root权限，或者在感染之前就呈现一种M3M解决方案。如果设备被Root了，它就只需要通过ADB(Android Debug Bridge)连接设备，然后删除包含PIN的文件(如password.key)。否则，重置设备为出厂设置只唯一重新获得权限的方法。

3.文件加密

也许只有少数Android勒索软件样本和PC版本非常类似，这种加密文件被媒体成为Simplelocker。作为这种类型的先驱，这种勒索软件在开发方面拥有很高的成熟度。

防止恶意软件入侵加密文件的Android操作系统安全限制存储在设备的内部存储器中，但是勒索软件可以在外部的SD存储卡加密数据。由于用户经常依赖这些SD存储卡来扩展内存容量，勒索软件有很大潜力感染非常多的受害人。

分配和攻击媒介

最受欢迎的分发机制之一仍然是第三方交易市场，已经存在恶意软件进入Google Play应用商店的先例。几款CAPTCHA-绕过Android恶意软件的例子已经被Google官方市场报道，其中两款分别拥有高达100,000和500,000的下载量。

除了订阅用户拥有高价格高品质应用服务，一些先进的科技也设计了隐藏类、函数、接受指令的命令行和控制服务器的混淆技术。

其他Android勒索软件的传递方式包括垃圾邮件，攻击者希望用户使用Android设备阅读邮件。Bditdefender检测了超过15000封垃圾邮件，这些邮件的附件中包含了压缩文件，受害用户重新获得设备接入权限需要支付$500。

虽然勒索软件通过恶意广告分布的情况很少，但是这种现象仍然存在，2015年就有几份报道称感染的Android应用通过app内部广告进行分发，受害用户均使用了第三方应用市场。由于已经有很多PC端的勒索软件通过这种方式感染用户，所以我们大可以假设Android勒索软件将在不久的将来以同样的方式大规模分发。

受害人对勒索软件的反应

Bitdefender的一项调查研究显示，50%的勒索软件受害人选择支付赎金。美国人最愿意花钱买平安，法国人和罗马尼亚人紧随其后，支付率为44%和48%。

小编说：毫无疑问，Android操作系统中的勒索软件会在未来迅速成为威胁用户信息安全及财产安全的重要途径。移动设备在我们的生活中越来越重要，我们每天使用智能机的时间远远超过了PC，智能机的功能越来越强大，除必要时，我们都会选择使用手机或平板进行工作，而不是电脑。

所以，作为智能机用户的我们更要学习如何保护自己的信息安全，保证自己的利益，每次下载apk之前仔细检查，不给手机root权限等都是预防潜在攻击的非常好的方式。

在2015年Android勒索软件分析报告（下）中我们将继续探索Android勒索软件，如果你想知道全球哪里的勒索攻击最为严重、还有哪些有效的方式防止或制止勒索攻击、SMS木马是如何入侵受害者的，敬请期待后续报道！

*原文地址：bitdefender，FB小编FireFrank编译，转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）