来自斯洛伐克的资安公司ESET日前宣布，旗下防毒软侦测到名为Android/DoubleLocker.A的勒索病毒，它不但会透过Android作业系统的协助工具功能作为入侵漏洞，更会在感染装置之后，主动更改PIN码并锁定装置中的文件，让受害者无法操作系统，只能透过缴纳赎金的方式解除系统的锁定状态。

由以银行App为目标的病毒变种而来

根据由ESET内部资安专家所主持的Welivesecurity博客报导，ESET的恶意程式研究员Lukáš Štefanko发现了Android/DoubleLocker.A勒索病毒（以下简称DoubleLocker），它是以某些专门攻击网路银行App的木马程式为基础，透过滥用Android作业系统的协助工具（Accessibility）功能，取得相关权限入侵并控制装置。

在过去，这类通过协助工具入侵装置的病毒，大多是以侧录键盘（Keylogger）为目的，在受害者操作网路银行App的过程中，窃取帐号与密码，以便进行后续的盗领动作，然而DoubleLocker却是第1款以协助工具作为入侵漏洞的勒索病毒。

DoubleLocker散播的途径与网路银行App病毒相当类似，它往往伪装成Adobe Flash Player的App，当该App启动之后，DoubleLocker就会要求名为「Google Play Service」的协助工具的执行权限。

一旦DoubleLocker取得协助工具权限之后，它就会进一步取得装置的管理员权限，并将自己设为系统主选单的预设程式，这些动作当然都没有经过受害者的同意。

▲ DoubleLocker通常会伪装成Adobe Flash Player。

▲ DoubleLocker会利用协助工具的漏洞入侵装置。

▲当受害者授予Google Play Service的执行权限后，装置就会被DoubleLocker感染。

按下Home键系统就锁死

当DoubleLocker把自己设为预设主选单之后，无论受害者在任何状态按下Home键，病毒就会被启动，然后将装置锁定，而受害者也不会查觉这个动作竟然是启动病毒的关键。

DoubleLocker开始运作之后，首先会先篡改装置的PIN码，让受害者无法再操作装置，然而麻烦的是，新的PIN码是以乱数决定，并且不会储存或回传给攻击者，所以不容易将它解除。

此外DoubleLocker还会将装置主要储存路径中的档案透过AES演算法加密，并将档案副档名改成「.cryeye」，若受害者无法得知加密金钥，那么也无法解除档案锁定。病毒会要求受害者必需在24小时内支付0.013比特币，但是若未在时限内支付，文件也不会被删除，只是会维持锁定状态。

Štefanko表示，当装置感染DoubleLocker之后，一般情况下只能通过重置装置（回复到出厂预设状态）的方式清除病毒。但是如果受害装置已经Root，且DoubleLocker还没被启动（还没按下Home键）的话，则可透过ADB进入装置并移除PIN码，接着在安全模式中移除病毒的管理员权限，接着将病毒清除即可。不过如果装置中的档案已经被加密锁定的话，情况就与其他勒索病毒一样，必需缴纳赎金才能将档案解锁。

为了要避免智慧型手机或平板电脑不受威胁，还是那句老话，不要安装来路不明的程式，而且时常备份装置中的档案才是上策。

▲当DoubleLocker启动之后，就会出现勒索信息。

▲嗯，赎金可以利用「扫码支付」，相当先进。

▲被加密锁定的档案副档名会被改成「.cryeye」。