导语:最近研究者们发现了一个新型银行恶意软件,并将其命名为LokiBot。之所以说它像“变形金刚”,是因为LokiBot能够在不同运行环境下提供许多独特的攻击功能,比如它所具备的勒索软件模块。

timg.jpg

最近研究者们发现了一个新型银行恶意软件,并将其命名为LokiBot。之所以说它像“变形金刚”,是因为LokiBot能够在不同运行环境下提供许多独特的攻击功能,比如它所具备的勒索软件模块。

LokiBot的首要定位是银行木马,不过在进行攻击时,如果它的银行木马访问权限被禁止或者用户试图删除它时,它能够立马启动勒索软件模块,瞬间转变成一款勒索软件。一旦勒索软件的特性被激活,LokiBot能够破译用户所有的数据变成另一种流氓软件。

通过跟踪分析LOKIBOT源代码中使用的BTC地址,研究人员发现LOKIBOT的幕后开发者曾经开发过其它的恶意软件,目前LokiBot在黑市的收入已经超过了150万美元,大约是2000个比特币。

1.png

比特币钱包详细信息

根据分析,LokiBot背后的开发者不太可能只是通过LokiBot一个软件进行获利,因为赎金的请求费用在70美元到100美元之间,而研究者们看到在各种攻击活动中的费用通常在1000美元左右,可见恶意软件是作为一个完整的工具包进行出售的,其中完整的许可证更新就价值 2000美元的比特币。

这款恶意软件也能够盗取用户的联系人、读取和发送手机短信,甚至还会阻止用户开启他们的手机。LokiBot的主要传播途径是通过在银行App上以及其他一些流行的应用程序,如Skype,Outlook和WhatsApp上插入钓鱼连接,目前总共有100个左右的银行App被感染。当受害者禁用恶意软件的管理权限或尝试卸载它时,勒索软件模块将被激活,除了自动激活勒索软件模块意外,LokiBot还具有“Go_Crypt”命令,可以使攻击者远程触发它。不过要说明的是,目前勒索软件模块并不是攻击者特别喜欢的功能。

LOKIBOT的攻击力解读

只要是Android 4.0及以上的版本,LOKIBOT都能运行,且有着标准的银行木马的功能,比如盗取用户的联系人、读取和发送手机短信,甚至还会阻止用户开启他们的手机。除此之外,LOKIBOT还会发送一个特定的命令,向受害者的所有邮件联系人和手机的联系人发送钓鱼链接,以进行更大范围的传播。另外,受害者的浏览器历史也不安全,因为这些信息都会被上传到攻击者的命令与控制服务器。

LokiBot还有一些更独特的功能,比如,它有能力启动受害者的浏览器应用程序并打开给定的网页。此外,它还可以实现SOCKS5,可以自动回复短信,并同时启动用户的银行App。这样LokiBot就可以在后台向攻击者显示来自其他应用程序的通知,比如有一笔钱存入到了受害者帐户等这样的消息。这样攻击者就会根据这些信息,制定出对应的网络钓鱼攻击方案,比如,攻击者会在出现新流入资金的银行App里植入具有钓鱼链接的通知,如果用户点击该链接,则就会触发攻击。除此之外,受害者手机收到通知时会将手机变换成震动状态。

LokiBot的另一个非常有趣和独特的地方是它的勒索软件功能,当受害者尝试通过禁止其管理权限或从受感染的设备中删除LokiBot时,勒索软件功能就会开启。也就是说,不管受害者怎样防止,它的攻击都不会停下来,不从用户的身上扣下一块肉来是不可能的,它的攻击底线就是,加密用户设备的所有文件让你支付赎金。

有趣的是,LokiBot与之前发现的Bankbot变体的混淆网络流量的方式竟然完全相同,这也是为什么有人最初把lokibot认为是Bankbot的变体的原因

LokiBot的界面

LokiBot的命令与控制服务器的操作面板设计的很人性化,比如它为使用者提供了一个内置的APK构建器,可让使用者自定义图标,名称,构建日期和C2 URL,从而创建大量针对不同用户组的不同样本,另外它也会自动生成签署每个APK的证书。

除了构建APK之外,使用还可以自定义显示给受害者的信息,并对所有收集的数据(如日志,历史和地理位置)进行高级搜索。

2.png

恶意软件命令与控制面板

勒索功能分析

当受害者尝试删除恶意软件时,勒索软件的功能将自动被激活。此外,它可以通过发送“Go_Crypt”命令从命令与控制服务器激活。

3.png

禁用“设备管理员”时勒索软件自动激活

一旦勒索功能被激活,它就开始搜索主共享或外部存储目录(传统上是SD卡)中的所有文件和目录,并使用AES对它们进行加密。密钥会在默认AES/ECB/PKCS5填充(Padding)和128位密钥大小下随机生成。幸运的是,LokiBot的加密功能目前还未能实现,因为加密的文件和目录只是被简单地修改了名字。换句话说,受害者并未真正失去他们的数据。但是不幸的是,这款恶意软件仍然激活了屏幕锁,让受害者无法打开手机。

当受害者的手机被锁屏后,屏幕上会显示出一个通知信息“你的手机由于观看儿童色情被锁屏”,一般情况下赎金在70美元到100美元之间。从下图可以看出,LokiBot的比特币地址在APK中被硬编码,不能从命令与控制服务器中更新。

4.png

屏幕被锁定的截图

5.png

硬编码比特币地址

LokiBot的缺点

LokiBot防止动态分析的反侦察技术不是很好,不过即便是这样,LokiBot还是要比其它恶意的银行APP更受追捧。根据跟踪分析,LokiBot的开发者似乎在不断更新这款软件的反侦察技术,以下技术就是在最新版本的LokiBot中找到的:

1.检测Qemu文件:/dev/socket/qemud, /dev/qemu_pipe, /system/lib/libc_malloc_debug_qemu.so, /sys/qemu_trace, /system/bin/qemu-props;

2.检测Qemu属性:init.svc.qemud,init.svc.qemu-props,qemu.hw.mainkeys;

3.检测/proc/tty/drivers中的模拟器(goldfish)驱动程序;

4.检查TaintDroid软件包的安装包org.appanalysis;

5.对TaintDroid类dalvik. system. taint进行检查。

总结

其实从今年夏初开始,研究者就发现了这一恶意软件,在30到40个样本中发现了100到2000个不同功能的LokiBot木马。从目前的功能来看,开发者几乎每周都回对它进行升级,这就表明LokiBot正在变成一个功能非常强大的Android木马,并以银行和流行App为攻击目标。

源链接

Hacking more

...