在Android勒索软件两年的衰败后，一个新的勒索软件家庭出现了。ESET Mobile Security检测到Android / Filecoder.C勒索软件正通过各种在线论坛传播。

勒索软件成功植入后会利用受害者的联系人列表进一步扩散。由于勒索软件设计存在缺陷，造成的影响有限。但如果开发人员修复了这些问题并瞄准更广泛的用户群，Android / Filecoder.C勒索软件可能会成为一个新的严重威胁。

Android / Filecoder.C自2019年7月12日起一直处于活跃状态。在我们发现的活动中，Android / Filecoder.C已经通过Reddit上的恶意帖子和“XDA Developers”论坛（Android开发者论坛）进行了传播。我们向XDA Developers和Reddit报告了恶意活动，XDA开发者论坛上的帖子被迅速删除;Reddit中的恶意文件在发布时仍处于活跃状态。

Android / Filecoder.C可以通过带有恶意链接的短信进一步传播，这些链接被发送到受害者联系人列表中的所有联系人。

在勒索软件发出恶意短信之后，会加密设备上的大多数用户文件并对用户进行勒索。由于加密有缺陷，用户可以在没有攻击者任何帮助的情况下解密受影响的文件。

发现

我们发现的勒索软件是基于两个域进行传播（请参阅下面的IoC部分），由攻击者控制，用于下载的恶意Android文件。攻击者通过发布或评论Reddit（图1）或XDA开发者（图2）来吸引潜在受害者进入这些域。

大多数情况下，帖子的主题与色情有关; 同时我们也发现了用作诱饵的技术主题。在所有评论或帖子中，都包含了指向恶意软件的链接或QR代码。

在Reddit共享的链接中，攻击者使用URL短链接bit.ly。该URL是在2019年6月11日创建的，如图3所示，其统计数据表明，在撰写本文时，已有来自不同来源和国家的59次点击。

传播方式

如上文所说，Android / Filecoder.C勒索软件通过SMS消息将链接发送到受害者联系人列表中的所有人。

这些消息中包括勒索软件的链接; 此外为了增加潜在受害者的兴趣，短信中会加入诱导性话语来引诱受害者点击，如图4所示。

为了最大化扩散范围，勒索软件具有图5中所示的消息模板的42种语言版本。在发送消息之前，它选择适合受害者设备的语言设置的版本。为了使这些消息更具有针对性，恶意软件会将联系人的姓名添加到消息前。

功能设置

一旦潜在受害者收到带有恶意应用程序链接的消息，他们需要手动安装。应用程序启动后，通常是一个模拟器在线游戏。但其主要目的是进行C＆C通信，传播恶意消息和实施文件加密。

对于C＆C通信，恶意软件的源代码中包含C＆C和比特币地址的硬编码。但它也可以动态搜索它们，攻击者利用免费的Pastebin服务可以随时更改它们。

因为勒索软件可以访问受害者的联系人列表，勒索软件具有发送短信的能力。在对手机文件加密之前，它会向受害者所有联系人发送一条带有恶意链接消息。

接下来勒索软件遍历可访问存储中的文件，除了系统文件外所有设备的存储， 并加密其中的大部分（参见“文件加密机制”部分）。文件加密后，勒索软件会显示其勒索信息（英文），如图7所示。

如果受害者删除应用程序，勒索软件将无法解密文件。但由于加密有缺陷，文件仍然可以恢复。此外根据分析，勒索软件的代码中没有任何内容显示受影响的数据将在72小时后丢失。

如图8所示，赎金金额是动态生成的。比特币数量的第一部分是硬编码，其值为0.01， 剩余的六位数是恶意软件生成的用户ID。

这种独特的做法有助于识别收到的付款。（在Android勒索软件中，通常是为每个加密设备生成一个单独的比特币钱包）根据最近每比特币约的汇率，派生的赎金金额在94-188美元之间（假设用户唯一ID随机生成）。

与典型的Android勒索软件不同，Android / Filecoder.C不会通过锁定屏幕来阻止使用设备。

如图9所示，在撰写本文时，比特币地址但还没有发现任何交易记录。

文件加密机制

勒索软件使用非对称和对称加密。首先，它生成公钥和私钥对， 私钥使用RSA算法加密，并以硬编码值存储在代码中并发送到攻击者的服务器。攻击者可以解密该私钥，并在受害者支付赎金后，将该私钥发送给受害者以解密他们的文件。

加密文件时，勒索软件会为每个要加密的文件生成一个新的AES密钥。然后使用公钥对此AES密钥进行加密，并将其添加到每个加密文件中：（（AES）public_key +（File）AES）.seven

文件结构如图10所示。

勒索软件通过访问存储目录加密以下文件类型：

“.doc”, “.docx”, “.xls”, “.xlsx”, “.ppt”, “.pptx”, “.pst”, “.ost”, “.msg”, “.eml”, “.vsd”, “.vsdx”, “.txt”, “.csv”, “.rtf”, “.123”, “.wks”, “.wk1”, “.pdf”, “.dwg”, “.onetoc2”, “.snt”, “.jpeg”, “.jpg”, “.docb”, “.docm”, “.dot”, “.dotm”, “.dotx”, “.xlsm”, “.xlsb”, “.xlw”, “.xlt”, “.xlm”, “.xlc”, “.xltx”, “.xltm”, “.pptm”, “.pot”, “.pps”, “.ppsm”, “.ppsx”, “.ppam”, “.potx”, “.potm”, “.edb”, “.hwp”, “.602”, “.sxi”, “.sti”, “.sldx”, “.sldm”, “.sldm”, “.vdi”, “.vmdk”, “.vmx”, “.gpg”, “.aes”, “.ARC”, “.PAQ”, “.bz2”, “.tbk”, “.bak”, “.tar”, “.tgz”, “.gz”, “.7z”, “.rar”, “.zip”, “.backup”, “.iso”, “.vcd”, “.bmp”, “.png”, “.gif”, “.raw”, “.cgm”, “.tif”, “.tiff”, “.nef”, “.psd”, “.ai”, “.svg”, “.djvu”, “.m4u”, “.m3u”, “.mid”, “.wma”, “.flv”, “.3g2”, “.mkv”, “.3gp”, “.mp4”, “.mov”, “.avi”, “.asf”, “.mpeg”, “.vob”, “.mpg”, “.wmv”, “.fla”, “.swf”, “.wav”, “.mp3”, “.sh”, “.class”, “.jar”, “.java”, “.rb”, “.asp”, “.php”, “.jsp”, “.brd”, “.sch”, “.dch”, “.dip”, “.pl”, “.vb”, “.vbs”, “.ps1”, “.bat”, “.cmd”, “.js”, “.asm”, “.h”, “.pas”, “.cpp”, “.c”, “.cs”, “.suo”, “.sln”, “.ldf”, “.mdf”, “.ibd”, “.myi”, “.myd”, “.frm”, “.odb”, “.dbf”, “.db”, “.mdb”, “.accdb”, “.sql”, “.sqlitedb”, “.sqlite3”, “.asc”, “.lay6”, “.lay”, “.mml”, “.sxm”, “.otg”, “.odg”, “.uop”, “.std”, “.sxd”, “.otp”, “.odp”, “.wb2”, “.slk”, “.dif”, “.stc”, “.sxc”, “.ots”, “.ods”, “.3dm”, “.max”, “.3ds”, “.uot”, “.stw”, “.sxw”, “.ott”, “.odt”, “.pem”, “.p12”, “.csr”, “.crt”, “.key”, “.pfx”, “.der”

它不会加密包含字符串“.cache”，“tmp”或“temp”的目录中的文件。如果文件扩展名为“.zip”或“.rar”且文件大小超过51,200 KB / 50 MB，或“.jpeg”，“.jpg”和“.png”文件大小小于150 KB也不会被加密。

文件类型列表包含一些与Android无关的文件类型，同时缺少一些典型的Android扩展，如.apk，.dex，.so。显然，该列表是从WannaCryptor aka WannaCry勒索软件中复制而来。

文件加密后，文件扩展名“.seven”将附加到原始文件名后，如图11所示。

解密机制

用于解密加密文件的代码存在于勒索软件中。如果受害者支付赎金，可以通过图12中所示的网站验证并获取私钥来解密文件。

但是，由于用于加密私钥使用的硬编码密钥值，可以通过将加密算法更改为解密算法来解密文件而无需支付赎金。所需要的只是勒索软件提供的UserID（参见图13），以及勒索软件的APK文件。到目前为止，我们已经在Android / Filecoder.C勒索软件的所有样本中发现了相同的值。

解决方案

1、让设备保持更新状态，最好将其设置为自动更新。

2、坚持使用Google Play或其他信誉良好的应用商店。

3、在安装任何应用程序之前，请检查其评级和评论。关注评论中的差评信息，因为它们通常来自合法用户，而积极的反馈往往是由攻击者特制的。

4、关注应用程序请求的权限。如果它们需要获取非必要权限，请避免下载该应用程序。

5、使用信誉良好的移动安全解决方案来保护您的设备。

IoCs

本文转载自公众号：FreeBuf

原文链接：https://mp.weixin.qq.com/s/mdV0iG7yomp8QxbG2q6jgQ

原文作者：Kriston