一、前言

5月12日,一場全球性互聯(lián)網(wǎng)災(zāi)難悄然而至,一款名為WannaCRY的PC端惡意勒索軟件利用NSA泄漏的危險漏洞“永恒之藍(lán)”,給100多個國家和地區(qū)10萬臺電腦造成了巨大的損失。到2017年為止,全球手機用戶總量已經(jīng)突破50億,而作為占比超過50%的android系統(tǒng)中,同樣有許許多多類似WannaCRY的勒索軟件正在危害我們的財產(chǎn)安全。

接下來,以一款主流的Android端惡意鎖屏勒索應(yīng)用為例,結(jié)合人工分析的方式,深入剖析勒索應(yīng)用的惡意行為。知己知彼,才能更好的防患于未來。

 

二、運行特征

這是一款偽裝成”秒贊大師”的鎖屏勒索惡意應(yīng)用

 

 

第一次點擊啟動之后,主界面會彈出誘騙激活設(shè)備管理員權(quán)限的對話框

 

 

當(dāng)你點擊激活后,恭喜你,你的屏幕將被鎖定,無法進(jìn)入手機的主界面,除非聯(lián)系勒索者獲得解密密碼

 

 

那么,接下來我們一起來分析下這款勒索軟件的實現(xiàn)原理,并且破解出它的解鎖密碼

 

三、準(zhǔn)備工作

1. 分析工具:JEB/Android killer

JEB是一款收費的Android應(yīng)用程序反編譯工具,解析能力強,兼容性高。

Android Killer是一款免費的android應(yīng)用程序反編譯工具,集Apk反編譯、Apk打包、Apk簽名,編碼互轉(zhuǎn),ADB通信等特色功能于一身。

可根據(jù)個人的習(xí)慣選擇工具,這里將使用jeb進(jìn)行分析

 

2. 分析環(huán)境:android模擬器

主要用于惡意應(yīng)用的運行時分析,可使用android原生的模擬器,也可使用第三方如genymotion、天天模擬器等

 

四、流程分析

應(yīng)用整體運行流程圖如下

 

 

接下來,我們對整個流程進(jìn)行詳細(xì)的分析

 

1. 入口點

首先,我們使用jeb打開要分析的apk

 

 

其中左邊為該應(yīng)用反編譯出來的類列表,右邊為AndroidManifest.xml清單文件的內(nèi)容

 

 

我們可以發(fā)現(xiàn),應(yīng)用的入口類為com.bugzapk.b,接下來我們分析下b類的執(zhí)行邏輯,b類對應(yīng)的界面如下,該界面只有一個按鈕

 

 

我們找到這個按鈕的點擊事件

 

發(fā)現(xiàn)點擊之后跳轉(zhuǎn)到com.bugzapk.z類中

 

2. root權(quán)限

我們繼續(xù)分析com.bugzapk.z類,首先分析入口函數(shù)onCreate

 

 

在入口處做了一些界面相關(guān)的初始化工作,重點在于這個100000000線程

 

 

我們可以看到,該應(yīng)用首先會嘗試將system分區(qū)mount為可寫狀態(tài),再將應(yīng)用挪入固件中,并且重啟手機。如果你的手機有root過,并且給予了root權(quán)限,你將無法再通過普通的方式來卸載這個應(yīng)用,就連刷機都無法清除。

 

 

當(dāng)獲取root權(quán)限失敗后,將會誘導(dǎo)你激活設(shè)備管理員權(quán)限。

 

 

當(dāng)你點擊確定后,會跳轉(zhuǎn)到com.bugzapk.c界面

 

3. 訪問網(wǎng)絡(luò)獲取PIN碼

分析com.bugzapk.c類的入口函數(shù)oncreate

 

 

啟動后,首先會運行100000000這個線程

 

 

這個線程會先解密字符串得到一個鏈接,并調(diào)用get方法訪問網(wǎng)絡(luò)獲得一個字符串,接下來我們分析下加密的算法,這里進(jìn)行了三層解密:decrypt->解密->decoder

 

 

這個decrypt函數(shù)首先將16進(jìn)制字符串轉(zhuǎn)換成字節(jié),再將字節(jié)進(jìn)行AES解密

 

 

解密函數(shù)中有一個簡單的字典,進(jìn)行字符串替換。

 

 

decoder函數(shù)會對字節(jié)進(jìn)行異或,得到最終的url。

 

 

根據(jù)這三個函數(shù),我們可編寫對應(yīng)的解密算法解出url的值。

接下來我們打開瀏覽器訪問這個url

 

 

我們發(fā)現(xiàn)返回了一大段的字符串,

 

 

最終,程序會調(diào)用正則表達(dá)式函數(shù),并進(jìn)行解密,我們調(diào)用對應(yīng)的解密算法,可計算出pin值為7531

 

 

4. 激活設(shè)備管理員并且設(shè)置PIN碼

com.bugzapk.c界面只有一個激活按鈕

 

 

點擊后會調(diào)用系統(tǒng)的api申請設(shè)備管理員權(quán)限,并且調(diào)用resetPassword函數(shù)將PIN碼修改為上一步獲取的值7531

 

 

Android中的設(shè)備管理員權(quán)限可以對手機進(jìn)行鎖屏,防止應(yīng)用被卸載等

獲取權(quán)限后,會調(diào)用鎖屏函數(shù),將屏幕鎖定

 

 

并且跳轉(zhuǎn)到com.bugzapk.g頁面

 

 

5. 上傳手機型號/釣魚頁面

com.bugzapk.g界面啟動后會自動上傳手機型號

 

 

并且彈出釣魚頁面誘導(dǎo)你輸入QQ賬號密碼

 

 

當(dāng)你輸入完點擊登陸后,跳轉(zhuǎn)到com.bugzapk.h頁面

 

 

6. 鎖屏主頁面

終于進(jìn)入我們最重要的密碼輸入界面com.bugzapk.h了,首先分析密鑰獲取邏輯

 

 

 

其中c為要訪問的域名,get函數(shù)訪問域名。通過解密算法可得到url為

 

 

打開瀏覽器,訪問頁面返回如下字符串

 

 

獲得數(shù)值后,使用正則表達(dá)式提取出37598這個密碼

 

 

并且賦給pass這個成員變量,如果網(wǎng)絡(luò)無法訪問的情況下,將會使用本地的密鑰

 

 

通過執(zhí)行對應(yīng)的解密算法,可解得本地密碼值為8810

 

 

接下來我們來分析解鎖函數(shù)js的邏輯

 

 

如果輸入的密碼值為654321,則將PIN碼更改為654312

 

 

如果輸入的密碼值為4321,則將PIN碼修改為4312

 

 

如果輸入的密碼值為上面分析出來的密碼值,將會跳轉(zhuǎn)到com.bugzapk.i界面

 

7. 鎖屏主頁面2

鎖屏主頁面1的密碼正確后,將會進(jìn)入第二個頁面com.bugzapk.i

 

 

我們直接查看點擊確定按鈕后的解鎖邏輯

 

 

輸入4951密碼后,頁面會跳轉(zhuǎn)會上一個界面

 

 

輸入997998后,界面的文字會做一些改變

 

 

正確的密碼值為l.x(v17,v9)這個解密函數(shù),我們執(zhí)行對應(yīng)的解密函數(shù)得到正確的密碼為2415

 

 

密碼輸入正確后,跳轉(zhuǎn)到最后的PIN碼界面

 

8. PIN碼界面

 

com.bugzapk.d界面直接顯示系統(tǒng)的PIN碼輸入頁面,輸入之前計算得到的PIN碼即可解鎖成功,進(jìn)入手機,至此整體流程結(jié)束

 

五、修復(fù)方法參考

如果你的手機也被這種勒索病毒鎖屏了該怎么辦呢,你可以嘗試以下幾種方法:

1. 如果你有基本的android開發(fā)經(jīng)驗和逆向知識,你可以嘗試直接分析勒索軟件的解密算法得到正確的密碼,一般這種軟件的邏輯和算法都不會太復(fù)雜

2. 如果你的手機開啟了USB調(diào)試模式,可以進(jìn)入adb shell環(huán)境,并且擁有root權(quán)限,你可以嘗試使用命令直接刪除密碼文件,刪除后重啟即可直接進(jìn)入手機界面

 

1 adb shell rm /data/system/access_control.key
2 adb shell rm /data/system/password.key
3 adb shell rm /data/system/gesture.key

3. 如果手機有刷過第三方的recovery,你可以重啟進(jìn)入recovery模式,直接將該軟件刪除,或者執(zhí)行第2步的命令刪除密碼。如果手機上的數(shù)據(jù)不重要的話,可以直接執(zhí)行雙wipe清除手機上的所有數(shù)據(jù)(勒索軟件在固件將無效)。

4. 刷機,刷入新的系統(tǒng)。

5. 聯(lián)系勒索者得到密碼

注意:以上方法僅供參考,其中2/3/4方法有可能造成手機重要數(shù)據(jù)丟失、系統(tǒng)無法正常使用,請慎重操作。

tips 現(xiàn)在市面上流傳的移動設(shè)備勒索病毒種類繁多,其中許多病毒制作較為簡單,解鎖密碼都是直接明文寫在字符串中。

 

 六、建議

最后,在給大家以下幾點建議:

1. 不要從非官方的渠道下載應(yīng)用,防止應(yīng)用被人為修改,加入了惡意代碼

2. 對于別人發(fā)過來的apk下載鏈接,要慎重點擊下載

3. 不要貪小便宜,去安裝那些搶紅包/游戲輔助之類的插件,大部分都是木馬病毒

4. 對于新安裝的應(yīng)用,如果有彈出申請設(shè)備管理員權(quán)限或者root權(quán)限的對話框,請一律點擊拒絕,除非你確定這個應(yīng)用沒有問題

5. 沒有必要的情況下,請不要root你的手機

 

文章轉(zhuǎn)載自安全客  原文地址:http://bobao.#/learning/detail/4053.html

http://www.cnblogs.com/alisecurity/p/7122506.html