安全路透社
当前位置:安全路透社 > 网络转载 > 正文

Android新型勒索病毒:加密文件内容,锁定手机屏幕

、新型勒索木马介绍

【样本类型】:勒索木马(ransomware)  Android端

【危害性】DoubleLocker与今年6月份曝出的手机版WannaCry病毒相比,除了会通过加密用户数据(譬如手机相册)向受害人勒索钱财之外,还会锁定手机致使用户无法使用,因此DoubleLocker的勒索危害性有可能比 手机版WannaCry更严重

【传播途径】通过网站推送虚假的“Adobe Flash Player ”应用更新,诱导用户下载安装

【主要风险行为】

 用户不幸中毒后,该病毒会加密用户手机上的 图片等文件内容,并上传加密密钥到黑客的服务器,同时 还会申请设备管理权限,导致难以卸载。申请的权限包括 :强制锁屏、清除用户密码、清除用户数据、限制 用户可选择的密码样式、登录行为监控、禁止摄像头使用、加密存储 数据;

在病毒启动后将会锁住用户手机屏幕 ,影响正常使用。黑客会以解密文件为由,勒索钱财,交付赎金才能解锁之前被加密的文件 。

勒索界面截图 :

israbye FreeBuf.COM  

、对病毒代码逆向分析:

进程启动之后,启动Service定时轮询

israbye FreeBuf.COM

israbye FreeBuf.COM

owd.qusutsqfdo.mbpepvxhxly.lLllIIllllIlllIlIIlILIIlIlLlIIllLlllllIIIllIlllllllIIlII逆向 片段

轮询逻辑:判断设备管理器和辅助点击服务是否打开

israbye FreeBuf.COM

owd.qusutsqfdo.mbpepvxhxly.q类run方法逆向片段

轮询逻辑:一旦辅助点击服务开启,跳转 设备管理界面,激活设备管理器

israbye FreeBuf.COM

owd.qusutsqfdo.mbpepvxhxly.q类run方法逆向片段

israbye FreeBuf.COM

owd.qusutsqfdo.mbpepvxhxly.lIllllllllIILIIIllLLIIIllIIllILIllllIlllIIIllIllllIIllll类 onCreate方法逆向

israbye FreeBuf.COM

owd.qusutsqfdo.mbpepvxhxly.lIllllllllIILIIIllLLIIIllIIllILIllllIlllIIIllIllllIIllll类 a方法逆向

israbye FreeBuf.COM

israbye FreeBuf.COM

辅助点击服务owd.qusutsqfdo.mbpepvxhxly.lIllIIIllLlllIIIllIIlllLIlllIllIllIllLllIIILllIllllllIII 的onAccessibilityEvent方法逆向片段(用于点击激活设备管理器

AndroidManifest.xml声明了设备管理器,申请 权限包含:

1. 强制锁屏

2.清除用户密码

3. 清除用户数据

4.限制用户可选择的密码样式

5.登录行为监控

6.禁止摄像头使用

7.加密存储数据

israbye FreeBuf.COM

AndroidManifest.xml 片断 

israbye FreeBuf.COM

申请的设备管理器权限

清除锁屏和密码

israbye FreeBuf.COM

owd.qusutsqfdo.mbpepvxhxly.q类run方法逆向片段

(还有其他多处清除解锁的代码片段 )

弹出勒索界面(见上文 勒索界面截图)

israbye FreeBuf.COM

owd.qusutsqfdo.mbpepvxhxly.llllllIlIlLLIIlILIIIIlllllIllIIIllIIllIlIlllllLllllIIlIl类 的onCreate方法逆向片段

其中,21791104是添加的view的flag,拆分出来为:FLAG_KEEP_SCREEN_ON 、FLAG_LAYOUT_IN_SCREEN、FLAG_IGNORE_CHEEK_PRESSES、FLAG_WATCH_OUTSIDE_TOUCH 、FLAG_SHOW_WHEN_LOCKED、FLAG_DISMISS_KEYGUARD、FLAG_HARDWARE_ACCELERATED ,所以锁屏界面常亮,导航键点击无效。

生成随机秘钥

israbye FreeBuf.COM

owd.qusutsqfdo.mbpepvxhxly.e类a方法逆向逻辑

israbye FreeBuf.COM

israbye FreeBuf.COM

owd.qusutsqfdo.mbpepvxhxly.e类部分逆向逻辑

上传秘钥到服务器

israbye FreeBuf.COM

israbye FreeBuf.COM

israbye FreeBuf.COM 

加解密文件

israbye FreeBuf.COM

owd.qusutsqfdo.mbpepvxhxly.f类b方法部分逆向逻辑

当受到黑产云端push下来的解密key时,解密本地文件

israbye FreeBuf.COM

owd.qusutsqfdo.mbpepvxhxly.l类b方法部分 逆向逻辑 

防护建议

1、通过正规的渠道进行软件下载和升级,不随意下载来历不明软件

2、腾讯手机管家已能全面查杀这类 病毒,用户可以安装腾讯手机管家来避免遭受损失

 israbye FreeBuf.COM

 *本文作者:腾讯手机管家,转载请注明FreeBuf.COM

未经允许不得转载:安全路透社 » Android新型勒索病毒:加密文件内容,锁定手机屏幕

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册