基于XMPP协议的新型安卓恶意软件

近日，安全研究人员发现一款安卓恶意软件新变种，它伪装成Flash播放器APP诱使用户下载，并以美国国家安全局的名义威胁受害用户缴纳赎金。此外，它利用即时通信协议XMPP与C&C服务器进行通信，以此躲避安全设备的跟踪和监测。

利用XMPP协议进行通信

根据Check Point软件技术公司的安全研究人员的消息，他们发现一款伪装成视频播放器的新型安卓恶意软件，该恶意软件实现了一种不同于任何其他恶意软件的通信方法。这个安卓恶意软件之所以与众不同，主要是因为它使用了即时通讯协议XMPP（可扩展消息与存在协议）与服务器建立通信。

Check Point发布的一篇报告中陈述道：

“我们发现的这款恶意软件样本采用了不同的方式来进行通信。它使用即时消息传递协议XMPP（可扩展消息与存在协议）从受感染的设备发送信息和接收命令，例如用一个给定的密钥加密用户文件、发送短信、拨打电话等等。使用XMPP协议使得安全设备更加难以跟踪恶意软件C&C流量，以及将其与其他合法的XMPP流量进行区别开。并且，它还使得通过监测可疑URL来阻塞流量变得不可能。此外，因为这种技术使用了外部库函数来处理通信，所以这款恶意软件不需要在受害者设备上安装任何额外的应用程序。因为XMPP支持TLS，所以客户端与服务器之间的通信也进行了本地加密。”


感染过程

感染开始于受害者下载一个伪装成Flash播放器的应用程序，然后如果用户安装了该APP并授权了其请求的权限，那么该恶意软件就会加密移动设备上的所有数据。感染成功后，这款恶意软件就会向受害用户显示一条消息，并声称来自美国国家安全局（NSA），这条消息会警告用户侵犯了版权，并威胁他们说如果不在48小时内支付罚款，那么罚款金额将会变成三倍。

实际上，这已经不是网络骗子第一次在他们的社会工程策略中滥用国家安全局消息，例如移动恶意软件Koler和Simplocker(Freebuf相关报道1、报道2)。

研究人员已经找到数十个用于控制安卓恶意软件的XMPP账户。

“在我们的研究过程中，我们发现许多与此次感染相关的XMPP C&C账户。在过去的几周里，我们已经通知了相关的XMPP服务器运营商，并且这些账户已经被停用。这一措施将有效地破坏目前感染的任何客户端的通信，并能够防止恶意软件作者控制这些设备。此外，任何新感染这款恶意软件的安卓设备上的文件现在都是安全的，因为恶意软件在没有C&C命令时已经无法有效地加密这些文件。不幸的是，这次恶意活动中的新样本仍然几乎每天都会出现。”

感染区域信息

大多数感染发生在美国，其次是亚洲。根据Check Point的消息，目前已经有数以万计的设备感染了该恶意软件，并且将近10%的受害者支付了网络罪犯要求的费用，这些费用从200美元到500美元不等。


专家们注意到，骗子们是根据受害者的地理位置来精心编制赎金消息，使其看起来更加像来自国家安全局的消息。