ESET的在线编辑网站Welivesecurity最近发布了一份分析报告,分析了一种正在美国蔓延的新型安卓勒索软件。
新的恶意软件,ESET团队称之为Android/Lockerpin。一个, is in the same family as the previously reported ransomware that locked Android device screens. In the earlier versions, the screen would be locked by creating a loop code for the ransom screen to continually pop up, thereby "locking" the user out of the mobile device.
Android Defender就是一个很好的例子,它把自己伪装成一个假的防病毒应用程序,而Simplocker则更进一步,对用户文件进行加密。这两个问题都可以通过ADB (Android Debug Bridge)和禁用管理员权限(允许在安全模式下卸载恶意软件)轻松解决。
Android / Lockerpin。一个, however, takes it to a whole new level and sets a new PIN lock for the phone by gaining access to the device's administrator rights. It can only do this after the user has downloaded and installed the malware that, as ESET reports, disguises itself as an app known as Porn Droid for viewing adult videos. The app is not available through Google's Play store but manages to find its way to mobile devices through third-party Android application databases.
当恶意软件被安装后,它会提示用户更新和修补应用程序,以使其正常运行。然而,用户不知道的是,补丁已经赋予了感染的管理员权限,并将在不久后锁定设备。
“点击这个按钮后,用户的设备就完蛋了:木马程序悄无声息地获得了管理员权限,现在可以锁定设备了——更糟糕的是,它为锁定屏幕设置了一个新的密码。”指出卢卡斯·斯特凡科,ESET的恶意软件研究员。
然后,勒索软件会闪现一个虚假的FBI警告,通知用户由于拥有可疑文件和使用被禁止的色情门户网站,设备已被锁定。它还指出,该设备的所有者已被视为犯罪对象,其位置和面部快照已被上传到FBI的数据中心。这一虚假警告还附带了一个威胁,如果用户试图断开连接、解锁或处置设备,它会提示用户通过一个名为“支付罚款”的链接支付500美元的费用,这笔费用将增加两倍。
警告显示后,Android/Lockerpin。然后A将锁定设备。正常的反应是卸载恶意软件,但编写勒索软件代码的实体已经从以前的菌株中吸取了一些教训。它有一个注册的回调函数,这是一个覆盖的假窗口,当特权被删除时,它会重新激活。它还编码保护自己免受移动防病毒应用程序,如ESET, AVAST和Dr.Web。
即使恶意软件以某种方式被删除,它仍然不能解决PIN码问题。如果用户试图重置随机生成并发送给攻击者的PIN,那么设备很可能会被永久锁定。
唯一真正的解决方案是将手机重置为出厂设置,这将删除手机中存储的所有内容,或者如果手机是root,则通过ADB连接到设备并删除存储PIN的文件。那些拥有能够重置PIN码的移动设备管理(MDM)解决方案的用户也可以在不重置出厂设置的情况下解锁手机。