前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >首例发生在巴西的仿冒WannaCry恶意软件

首例发生在巴西的仿冒WannaCry恶意软件

作者头像
C4rpeDime
发布2022-04-26 09:00:16
3870
发布2022-04-26 09:00:16
举报
文章被收录于专栏:黑白安全

背景介绍

2017年5月12日,WannaCry蠕虫在全球大爆发,引爆了互联网行业的“生化危机”。借助“永恒之蓝”高危漏洞传播的WannaCry,在数小时内横扫了近150个国家的政府机关、高校、医院等。红色的背景“桌面”席卷全球,致使多个国家的政府、教育、医院、能源、通信、交通、制造等关键信息基础设施遭受到了前所未有的破坏。

而随着WannaCry的爆发,许多勒索软件也借着WannaCry的热度与余威,通过各种仿冒WannaCry对用户进行勒索,其中也不乏移动端WannaCry仿冒软件。移动端仿冒WannaCry的勒索软件2017年就已出现,其通过仿冒“王者荣耀辅助”诱骗用户安装,勒索软件通过仿冒WannaCry勒索界面,对用户手机进行锁屏,加密用户手机文件,并通过二维码对用户进行勒索。

近日奇安信红雨滴团队,通过分析推特上发现的,巴西首例通过仿冒WannaCry勒索的移动恶意软件,该软件通过仿冒WannaCry勒索界面,向用户索要比特币,其勒索界面与2017年国内发现的“王者荣耀辅助”勒索软件类似。

但此次在巴西发现的恶意软件,相比于“王者荣耀辅助”,其UI上做了借鉴,功能上做了升级,经过分析发现其为“AhMyth ”、“WannaCry UI ”、“Banker木马”类软件的结合体。

首例发生在巴西的仿冒WannaCry恶意软件 恶意软件 WannaCry 安全文摘  第1张
首例发生在巴西的仿冒WannaCry恶意软件 恶意软件 WannaCry 安全文摘 第1张

诱饵分析

2017年国内发现的仿冒“王者荣耀辅助”的勒索软件:

首例发生在巴西的仿冒WannaCry恶意软件 恶意软件 WannaCry 安全文摘  第2张
首例发生在巴西的仿冒WannaCry恶意软件 恶意软件 WannaCry 安全文摘 第2张

近日巴西发现的仿冒WannaCry勒索软件,含有西班牙语的勒索界面:

首例发生在巴西的仿冒WannaCry恶意软件 恶意软件 WannaCry 安全文摘  第3张
首例发生在巴西的仿冒WannaCry恶意软件 恶意软件 WannaCry 安全文摘 第3张

样本信息:

首例发生在巴西的仿冒WannaCry恶意软件 恶意软件 WannaCry 安全文摘  第4张
首例发生在巴西的仿冒WannaCry恶意软件 恶意软件 WannaCry 安全文摘 第4张

样本分析

经过对该恶意软件进行分析,该恶意软件除了在UI上借鉴了WannaCry,功能上相比与国内发现的“王者荣耀辅助”已完全不同。恶意软件运行后会隐藏自身图标,并在后台通过服务端下发控制指令,对用户手机进行远控,而且其着重针对巴西境内的九大银行。其恶意行为有:获取用户手机短信、通讯录、通话记录、手机固件信息、地理位置、获取用户手机已安装的银行APP信息,对用户手机进行网络钓鱼、执行DDOS攻击、获取手机录音等。

恶意程序远控指令及含义:

控制指令

指令含义

x0000gsm

0,获取手机短信

1,发送短信

2,获取通话记录

3,获取通讯录

x0000bk

1,获取安装的银行APP

2,加入到系统卸载程序

3,启动指定APP

4,捕获不同APP的信息

5,网络钓鱼

x0000ca

-1,打开摄像机拍照

x0000fm

0,获取文件名、目录

1,获取文件名、大小

x0000hk

执行指定的shell命令(DDOS攻击等)

x0000lm

获取地理位置

x0000mc

手机录音

x0000mn

获取手机固件信息

远控代码:

首例发生在巴西的仿冒WannaCry恶意软件 恶意软件 WannaCry 安全文摘  第5张
首例发生在巴西的仿冒WannaCry恶意软件 恶意软件 WannaCry 安全文摘 第5张
首例发生在巴西的仿冒WannaCry恶意软件 恶意软件 WannaCry 安全文摘  第6张
首例发生在巴西的仿冒WannaCry恶意软件 恶意软件 WannaCry 安全文摘 第6张

部分恶意代码:

首例发生在巴西的仿冒WannaCry恶意软件 恶意软件 WannaCry 安全文摘  第7张
首例发生在巴西的仿冒WannaCry恶意软件 恶意软件 WannaCry 安全文摘 第7张
首例发生在巴西的仿冒WannaCry恶意软件 恶意软件 WannaCry 安全文摘  第8张
首例发生在巴西的仿冒WannaCry恶意软件 恶意软件 WannaCry 安全文摘 第8张

恶意软件着重针对,用户手机安装的巴西各大银行软件,这个应该是攻击者的真正目的。恶意软件会获取用户手机安装的银行软件,同时会获取银行APP上个人相关的信息,针对不同的APP会有相应的不同操作。

首例发生在巴西的仿冒WannaCry恶意软件 恶意软件 WannaCry 安全文摘  第9张
首例发生在巴西的仿冒WannaCry恶意软件 恶意软件 WannaCry 安全文摘 第9张
首例发生在巴西的仿冒WannaCry恶意软件 恶意软件 WannaCry 安全文摘  第10张
首例发生在巴西的仿冒WannaCry恶意软件 恶意软件 WannaCry 安全文摘 第10张
首例发生在巴西的仿冒WannaCry恶意软件 恶意软件 WannaCry 安全文摘  第11张
首例发生在巴西的仿冒WannaCry恶意软件 恶意软件 WannaCry 安全文摘 第11张
首例发生在巴西的仿冒WannaCry恶意软件 恶意软件 WannaCry 安全文摘  第12张
首例发生在巴西的仿冒WannaCry恶意软件 恶意软件 WannaCry 安全文摘 第12张

恶意程序中监测的巴西银行APP统计:

首例发生在巴西的仿冒WannaCry恶意软件 恶意软件 WannaCry 安全文摘  第13张
首例发生在巴西的仿冒WannaCry恶意软件 恶意软件 WannaCry 安全文摘 第13张

同源分析

当PC端的WannaCry爆发以后,国内恶意软件作者,马上推出了移动端仿冒WannaCry的勒索软件“王者荣耀辅助”。这方面我们可谓走在了世界前列,“王者荣耀辅助”为前几年国内移动端勒索软件较流行的“彼岸花”系列变种,其源码也早已公开。此次在巴西发现的仿冒WannaCry恶意软件,在UI上参考了国内早期的勒索软件。

仿冒WannaCry的勒索软件“王者荣耀辅助”:

首例发生在巴西的仿冒WannaCry恶意软件 恶意软件 WannaCry 安全文摘  第14张
首例发生在巴西的仿冒WannaCry恶意软件 恶意软件 WannaCry 安全文摘 第14张

遍历用户手机文件,进行加解密操作:

首例发生在巴西的仿冒WannaCry恶意软件 恶意软件 WannaCry 安全文摘  第15张
首例发生在巴西的仿冒WannaCry恶意软件 恶意软件 WannaCry 安全文摘 第15张
首例发生在巴西的仿冒WannaCry恶意软件 恶意软件 WannaCry 安全文摘  第16张
首例发生在巴西的仿冒WannaCry恶意软件 恶意软件 WannaCry 安全文摘 第16张

勒索界面:

首例发生在巴西的仿冒WannaCry恶意软件 恶意软件 WannaCry 安全文摘  第17张
首例发生在巴西的仿冒WannaCry恶意软件 恶意软件 WannaCry 安全文摘 第17张

付费二维码:

首例发生在巴西的仿冒WannaCry恶意软件 恶意软件 WannaCry 安全文摘  第18张
首例发生在巴西的仿冒WannaCry恶意软件 恶意软件 WannaCry 安全文摘 第18张

勒索软件源码:https://github.com/coh7eiqu8thaBu/SLocker

首例发生在巴西的仿冒WannaCry恶意软件 恶意软件 WannaCry 安全文摘  第19张
首例发生在巴西的仿冒WannaCry恶意软件 恶意软件 WannaCry 安全文摘 第19张

总结

根据我们奇安信红雨滴团队的数据统计,近年来移动端的勒索软件,无论是从发现的恶意样本数量,还是从受害用户的数量来看,这类威胁目前都趋于稳定。然而移动端银行木马数量与受害人数,近年来不断增加,尤其是国外越来越多。我们的邻居韩国就是移动银行木马的重灾区,移动木马主要为Anubis、Asacub、Hqwar等木马家族的变种。此次发现针对巴西用户的,通过仿冒WannaCry的移动木马,是一个集勒索软件、银行木马、钓鱼木马等的结合体,无疑也可能是移动恶意软件未来的发展方向。作为用户时刻要注意的是,手机软件要去正规的移动商城下载。未来我们奇安信红雨滴团队,也会时刻关注这方面的恶意情报。

IOC

MD5

代码语言:javascript
复制
78c9bfea25843a0274c38086f50e8b1cba03c39ba851c2cb3ac5851b5f029b9c

C&C

代码语言:javascript
复制
https://keyprotect.ngrok.io/socket.io

参考信息

代码语言:javascript
复制
https://github.com/coh7eiqu8thaBu/SLocker

*本文作者:奇安信威胁情报中心

本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
原始发表:2019-07-13),如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 作者个人站点/博客 前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 背景介绍
  • 诱饵分析
  • 样本分析
  • 同源分析
  • 总结
  • IOC
    • MD5
      • C&C
      • 参考信息
      相关产品与服务
      短信
      腾讯云短信(Short Message Service,SMS)可为广大企业级用户提供稳定可靠,安全合规的短信触达服务。用户可快速接入,调用 API / SDK 或者通过控制台即可发送,支持发送验证码、通知类短信和营销短信。国内验证短信秒级触达,99%到达率;国际/港澳台短信覆盖全球200+国家/地区,全球多服务站点,稳定可靠。
      领券
      问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档