賽門鐵克發(fā)現(xiàn)中國Android 勒索軟件正在使用偽隨機(jī)密碼和雙鎖屏攻擊

責(zé)任編輯:editor006

2016-09-28 23:12:08

摘自:C114

賽門鐵克安全團(tuán)隊(duì)最近發(fā)現(xiàn),Android Lockscreen(鎖屏惡意軟件)的新變種正在通過偽隨機(jī)密碼,阻止受害者在不支付贖金的情況下解鎖設(shè)備

賽門鐵克安全團(tuán)隊(duì)最近發(fā)現(xiàn),Android.Lockscreen(鎖屏惡意軟件)的新變種正在通過偽隨機(jī)密碼,阻止受害者在不支付贖金的情況下解鎖設(shè)備。此前,這類勒索軟件的早期版本使用硬編碼密碼鎖定屏幕。然而,安全專業(yè)人士能夠?qū)Υa進(jìn)行反向工程,為受害者提供密碼解鎖設(shè)備。此外,攻擊者通過結(jié)合自定義鎖屏和設(shè)備鎖屏來增加解鎖難度。賽門鐵克過去針對類似移動(dòng)威脅的監(jiān)測顯示,此類木馬程序能夠在傳播前,直接在移動(dòng)設(shè)備上進(jìn)行創(chuàng)建。經(jīng)過分析,賽門鐵克安全團(tuán)隊(duì)發(fā)現(xiàn)在中國出現(xiàn)的此類安全威脅為Android.Lockscreen(鎖屏惡意軟件)。

偽隨機(jī)密碼

一旦移動(dòng)設(shè)備感染木馬,這類惡意軟件便會(huì)創(chuàng)建一個(gè)自定義的“系統(tǒng)錯(cuò)誤”窗口,強(qiáng)行覆蓋在感染設(shè)備每一個(gè)可見的UI之上。此時(shí),惡意軟件會(huì)在窗口中顯示恐嚇消息,告知受害者通過聯(lián)系攻擊者才能獲得解鎖密碼。

 

 

圖1.鎖屏窗口:告知受害者如何解鎖設(shè)備的系統(tǒng)錯(cuò)誤窗口

此前,這類木馬的舊版本使用密碼來解鎖樣本代碼中的設(shè)備硬編碼,而新變種版本則淘汰了硬編碼密碼,并替換為偽隨機(jī)編碼,部分變種木馬會(huì)生成六位數(shù)或八位數(shù)編碼。

 

 

圖2.六位數(shù)代碼的偽隨機(jī)數(shù)生成器

 

 

圖3.八位數(shù)代碼的偽隨機(jī)數(shù)生成器

在圖2所展示的攻擊事件中,解鎖密碼為137911,生成方式為:139911 – 2000 = 137911。由于使用“Math.Random()”函數(shù)計(jì)算得出的基數(shù)不同,因此每個(gè)感染設(shè)備所生成的編碼也有所不同。

雙鎖屏

為了增強(qiáng)解鎖難度,這類惡意軟件的作者還會(huì)結(jié)合使用偽隨機(jī)密碼和以往采用的攻擊手段。除了使用“系統(tǒng)錯(cuò)誤”窗口這類定制化鎖屏外,攻擊者還會(huì)利用設(shè)備管理員權(quán)限更改Android設(shè)備的正常鎖屏PIN密碼。但值得一提的是,如果用戶在設(shè)備感染之前設(shè)置了PIN密碼,那么Android Nougat將會(huì)阻止攻擊者調(diào)用“resetPassword()”。

賽門鐵克建議用戶采用以下措施,抵御移動(dòng)威脅:

·及時(shí)更新并確保軟件為最新版本;

·避免從陌生網(wǎng)站下載移動(dòng)應(yīng)用,只信任安裝來自可靠來源的移動(dòng)應(yīng)用程序;

·密切注意應(yīng)用所請求的權(quán)限;

·在移動(dòng)設(shè)備中安裝一款合適的移動(dòng)安全應(yīng)用,以保護(hù)設(shè)備和數(shù)據(jù)安全,比如諾頓;

·定期備份設(shè)備中的重要數(shù)據(jù);

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)