首页安全播报安全快讯 › Android新型勒索病毒:加密文件内容 锁定手机屏幕

Android新型勒索病毒:加密文件内容 锁定手机屏幕

2017-10-20

、新型勒索木马介绍

l样本类型勒索木马(ransomware) Android

l【危害性】DoubleLocker与今年6月份曝出的手机版WannaCry病毒相比,除了会通过加密用户数据(譬如手机相册)向受害人勒索钱财之外,还会锁定手机致使用户无法使用,因此DoubleLocker的勒索危害性有可能比手机版WannaCry更严重

l【传播途径】通过网站推送虚假的Adobe Flash Player ”应用更新,诱导用户下载安装

l【主要风险行为】

用户不幸中毒后,病毒会加密用户手机上的图片等文件内容,上传加密密钥到黑客的服务器,同时还会申请设备管理权限,导致难以卸载。申请的权限包括:强制锁屏、清除用户密码、清除用户数据、限制用户可选择的密码样式、登录行为监控、禁止摄像头使用、加密存储数据

病毒启动后锁住用户手机屏幕影响正常使用。黑客会以解密文件为由,勒索钱财,交付赎金才能解锁之前被加密的文件

l勒索界面截图 :


(图:成功加密后显示的勒索界面


、对病毒代码逆向分析:

l进程启动之后,启动Service定时轮询


owd.qusutsqfdo.mbpepvxhxly.lLllIIllllIlllIlIIlILIIlIlLlIIllLlllllIIIllIlllllllIIlII逆向片段

l轮询逻辑:判断设备管理器和辅助点击服务是否打开


owd.qusutsqfdo.mbpepvxhxly.q类run方法逆向片段

l轮询逻辑:一旦辅助点击服务开启,跳转设备管理界面,激活设备管理器

owd.qusutsqfdo.mbpepvxhxly.q类run方法逆向片段


owd.qusutsqfdo.mbpepvxhxly.lIllllllllIILIIIllLLIIIllIIllILIllllIlllIIIllIllllIIllllonCreate方法逆向



owd.qusutsqfdo.mbpepvxhxly.lIllllllllIILIIIllLLIIIllIIllILIllllIlllIIIllIllllIIlllla方法逆向



辅助点击服务owd.qusutsqfdo.mbpepvxhxly.lIllIIIllLlllIIIllIIlllLIlllIllIllIllLllIIILllIllllllIIIonAccessibilityEvent方法逆向片段

(用于点击激活设备管理器

lAndroidManifest.xml声明设备管理器,申请权限包含

n强制锁屏

n清除用户密码

n清除用户数据

n限制用户可选择的密码样式

n登录行为监控

n禁止摄像头使用

n加密存储数据


AndroidManifest.xml 片断 


申请设备管理器权限

l清除锁屏和密码


owd.qusutsqfdo.mbpepvxhxly.q类run方法逆向片段

(还有其他多处清除解锁的代码片段

l弹出勒索界面(上文勒索界面截图)


owd.qusutsqfdo.mbpepvxhxly.llllllIlIlLLIIlILIIIIlllllIllIIIllIIllIlIlllllLllllIIlIlonCreate方法逆向片段

其中21791104添加view的flag,拆分出来为:FLAG_KEEP_SCREEN_ONFLAG_LAYOUT_IN_SCREENFLAG_IGNORE_CHEEK_PRESSESFLAG_WATCH_OUTSIDE_TOUCHFLAG_SHOW_WHEN_LOCKEDFLAG_DISMISS_KEYGUARDFLAG_HARDWARE_ACCELERATED所以锁屏界面常亮,导航键点击无效。

l生成随机秘钥


owd.qusutsqfdo.mbpepvxhxly.e类a方法逆向逻辑



owd.qusutsqfdo.mbpepvxhxly.e类部分逆向逻辑

l上传秘钥到服务器




l加解密文件


owd.qusutsqfdo.mbpepvxhxly.f类b方法部分逆向逻辑

l当受到黑产云端push下来的解密key时,解密本地文件


owd.qusutsqfdo.mbpepvxhxly.lb方法部分逆向逻辑

防护建议

1、通过正规的渠道进行软件下载和升级,不随意下载来历不明软件

2、腾讯手机管家能全面查杀这类病毒,用户可以安装腾讯手机管家来避免遭受损失


 

 

安全快讯 更多

手机丢了应该怎么办?

手机丢了应该怎么办?

2021-08-16
做兼职,这些陷阱别踩!

做兼职,这些陷阱别踩!

2021-08-16
人之间的区别是什么?

人之间的区别是什么?

2021-08-16

安全视频 更多

小管说安全(4)——狗阿旺的案情回顾

2017-12-06

手柄助手完美适配光荣使命

2017-11-30

小管说安全(3)——谣言有毒

2017-10-24