LOKIBOT——首个“变形金刚”式的Android 恶意软件

最近研究者们发现了一个新型银行恶意软件，并将其命名为LokiBot。之所以说它像“变形金刚”，是因为LokiBot能够在不同运行环境下提供许多独特的攻击功能，比如它所具备的勒索软件模块。

LokiBot的首要定位是银行木马，不过在进行攻击时，如果它的银行木马访问权限被禁止或者用户试图删除它时，它能够立马启动勒索软件模块，瞬间转变成一款勒索软件。一旦勒索软件的特性被激活，LokiBot能够破译用户所有的数据变成另一种流氓软件。

通过跟踪分析LOKIBOT源代码中使用的BTC地址，研究人员发现LOKIBOT的幕后开发者曾经开发过其它的恶意软件，目前LokiBot在黑市的收入已经超过了150万美元，大约是2000个比特币。

比特币钱包详细信息

根据分析，LokiBot背后的开发者不太可能只是通过LokiBot一个软件进行获利，因为赎金的请求费用在70美元到100美元之间，而研究者们看到在各种攻击活动中的费用通常在1000美元左右，可见恶意软件是作为一个完整的工具包进行出售的，其中完整的许可证更新就价值 2000美元的比特币。

这款恶意软件也能够盗取用户的联系人、读取和发送手机短信，甚至还会阻止用户开启他们的手机。LokiBot的主要传播途径是通过在银行App上以及其他一些流行的应用程序，如Skype，Outlook和WhatsApp上插入钓鱼连接，目前总共有100个左右的银行App被感染。当受害者禁用恶意软件的管理权限或尝试卸载它时，勒索软件模块将被激活，除了自动激活勒索软件模块意外，LokiBot还具有“Go_Crypt”命令，可以使攻击者远程触发它。不过要说明的是，目前勒索软件模块并不是攻击者特别喜欢的功能。

LOKIBOT的攻击力解读

只要是Android 4.0及以上的版本，LOKIBOT都能运行，且有着标准的银行木马的功能，比如盗取用户的联系人、读取和发送手机短信，甚至还会阻止用户开启他们的手机。除此之外，LOKIBOT还会发送一个特定的命令，向受害者的所有邮件联系人和手机的联系人发送钓鱼链接，以进行更大范围的传播。另外，受害者的浏览器历史也不安全，因为这些信息都会被上传到攻击者的命令与控制服务器。

LokiBot还有一些更独特的功能，比如，它有能力启动受害者的浏览器应用程序并打开给定的网页。此外，它还可以实现SOCKS5，可以自动回复短信，并同时启动用户的银行App。这样LokiBot就可以在后台向攻击者显示来自其他应用程序的通知，比如有一笔钱存入到了受害者帐户等这样的消息。这样攻击者就会根据这些信息，制定出对应的网络钓鱼攻击方案，比如，攻击者会在出现新流入资金的银行App里植入具有钓鱼链接的通知，如果用户点击该链接，则就会触发攻击。除此之外，受害者手机收到通知时会将手机变换成震动状态。

LokiBot的另一个非常有趣和独特的地方是它的勒索软件功能，当受害者尝试通过禁止其管理权限或从受感染的设备中删除LokiBot时，勒索软件功能就会开启。也就是说，不管受害者怎样防止，它的攻击都不会停下来，不从用户的身上扣下一块肉来是不可能的，它的攻击底线就是，加密用户设备的所有文件让你支付赎金。

有趣的是，LokiBot与之前发现的Bankbot变体的混淆网络流量的方式竟然完全相同，这也是为什么有人最初把lokibot认为是Bankbot的变体的原因。

LokiBot的界面

LokiBot的命令与控制服务器的操作面板设计的很人性化，比如它为使用者提供了一个内置的APK构建器，可让使用者自定义图标，名称，构建日期和C2 URL，从而创建大量针对不同用户组的不同样本，另外它也会自动生成签署每个APK的证书。

除了构建APK之外，使用还可以自定义显示给受害者的信息，并对所有收集的数据（如日志，历史和地理位置）进行高级搜索。

恶意软件命令与控制面板

勒索功能分析

当受害者尝试删除恶意软件时，勒索软件的功能将自动被激活。此外，它可以通过发送“Go_Crypt”命令从命令与控制服务器激活。

禁用“设备管理员”时勒索软件自动激活

一旦勒索功能被激活，它就开始搜索主共享或外部存储目录（传统上是SD卡）中的所有文件和目录，并使用AES对它们进行加密。密钥会在默认AES/ECB/PKCS5填充（Padding）和128位密钥大小下随机生成。幸运的是，LokiBot的加密功能目前还未能实现，因为加密的文件和目录只是被简单地修改了名字。换句话说，受害者并未真正失去他们的数据。但是不幸的是，这款恶意软件仍然激活了屏幕锁，让受害者无法打开手机。

当受害者的手机被锁屏后，屏幕上会显示出一个通知信息“你的手机由于观看儿童色情被锁屏”，一般情况下赎金在70美元到100美元之间。从下图可以看出，LokiBot的比特币地址在APK中被硬编码，不能从命令与控制服务器中更新。

屏幕被锁定的截图

硬编码比特币地址

LokiBot的缺点

LokiBot防止动态分析的反侦察技术不是很好，不过即便是这样，LokiBot还是要比其它恶意的银行APP更受追捧。根据跟踪分析，LokiBot的开发者似乎在不断更新这款软件的反侦察技术，以下技术就是在最新版本的LokiBot中找到的：

1.检测Qemu文件：/dev/socket/qemud, /dev/qemu_pipe, /system/lib/libc_malloc_debug_qemu.so, /sys/qemu_trace, /system/bin/qemu-props；

2.检测Qemu属性：init.svc.qemud，init.svc.qemu-props，qemu.hw.mainkeys；

3.检测/proc/tty/drivers中的模拟器（goldfish）驱动程序；

4.检查TaintDroid软件包的安装包org.appanalysis；

5.对TaintDroid类dalvik. system. taint进行检查。

总结

其实从今年夏初开始，研究者就发现了这一恶意软件，在30到40个样本中发现了100到2000个不同功能的LokiBot木马。从目前的功能来看，开发者几乎每周都回对它进行升级，这就表明LokiBot正在变成一个功能非常强大的Android木马，并以银行和流行App为攻击目标。

原文来自:嘶吼

声明：所有来源为“聚合数据”的内容信息，未经本网许可，不得转载！如对内容有异议或投诉，请与我们联系。邮箱：marketing@think-land.com