随着智能手机功能的完善和使用的普及,人们对电脑和U盘的依赖性有所降低。面对这一改变,黑客早已将目标转向人们已经无法离开的手机设备上。回顾2016年,“MongDB数据库网络勒索事件”,“ElasticSearch数据库网络勒索 事件”等,以及近日举办的RSA Conference 2017 信息安全大会,其第一天的议题就是关于Ransomware(勒索软件)的一系列讨论。这足以说明网络勒索软件已成为互联网安全的重大隐患之一,亟待解决。
某安全研究人员之前曾爆料,某黑产团伙利用嵌入恶意代码的刷钻应用进行QQ盗号和恶意锁屏,感染用户高达八千人。近日,某实验室发现一款升级版恶意应用被传播,企图锁屏用户移动设备进行敲诈勒索,而该应用与之前的刷钻应用属于同一团伙所为。
一、恶意应用是如何被发现的?
1 在QQ群中下载了一款名为“爱扣字”的应用,导致手机被恶意锁住,无法正常使用。
2 通过感染用户提供的锁屏图片中的QQ群号码,我们找到了管理员的QQ号。管理员的QQ签名明确标注了解锁的价格。
二、恶意应用的“工作”流程
1 在安装“爱扣字”应用后,打开应用程序,弹出“扣字神器”的安装界面,提示安装“扣字神器”应用。
2 安装并打开“扣字神器”。“萌宠大揭秘”中的GIDGET,看起来萌萌的。在点击“点击开始免费激活”按钮后,跳转到下图第二个界面。弹窗“激活完全免费”,点击“激活”。
同时第三个界面弹窗询问是否激活设备管理器,激活后跳转到上图第四个界面。前面的几个界面看起来都相对可靠,这个界面看着些许不适,风格诡异。
3 点击“点击开始root”后,设备黑屏并重启。重启后,设备已经被恶意应用锁屏。
4 在这个锁屏触发的过程中,真正具有恶意锁屏行为的应用不是“爱扣字”,而且其推送安装的程序“扣字神器”。
三、重点在这里:快速解锁方法
快速解决只需要三个密码即可。
第1个解锁密码:
a 安装软件恶意软件时联网,密码为 "http://www.wencaojun.top/sj.html"中声明七中的数字。
b 安装恶意软件时未联网,密码为4312。
第2个解锁密码:2415
第3个解锁密码:
a 若安装时激活设备管理器,密码为"http://www.wencaojun.top/pin.html"中的数字。
b 若安装时未激活设备管理器,密码为3957。
四 解读整个解锁过程
1 第一个解锁界面
在恶意软件安装后,程序会自动发送HTTP请求到指定的服务器。若HTTP请求成功,则设置第一个解锁界面的解锁密码为网页"http://www.wencaojun.top/sj.html"中声明七中的数字;若HTTP请求失败,则设置第一个解锁界面的解锁密码为4312。
2 第二个解锁界面
第二个解锁界面中有三个密码可以使用,分别是4951、997998和2415。这几个密码加密存储在恶意应用的代码中,并不是明文可见。
这里的逻辑处理很有趣。密码输入4951会返回到第一个解锁界面;密码输入2415,成功解锁,跳转到第三个解锁界面;密码输入997998,则会提示机型不支持,需提供机型给管理员解锁。
这里的机型是程序通过获取设备信息获取到的,是真实信息,但是机型不支持只是一个套路罢了。
在输入997998跳转到如上图所示界面后,输入密码2415跳转到第三个解锁界面。
3 第三个解锁界面
第三个解锁界面实际上修改了系统的pin值,设置了新的pin值。
第三个解锁界面的解锁密码与在安装程序时是否激活设备管理器有关。程序安装时会询问是否激活设备管理器。若激活设备管理器,则程序从远程服务器端获取密码,密码来源于"http://www.wencaojun.top/pin.html"。若未激活设备管理器,则密码为程序加密存储的数字3957。
至此,整个程序才算解锁完毕。当然这仅是解锁完毕,如果解锁后没有立即删除该恶意应用,重新启动手机后该应用仍会继续自动启动并锁屏。
小编在这里强调一下,千万不要下载来源不明的应用,每款手机都有自带的应用商城,请一定在正规的下载平台下载软件!