来自斯洛伐克的资安公司ESET日前宣布,旗下防毒软侦测到名为Android/DoubleLocker.A的勒索病毒,它不但会透过Android作业系统的协助工具功能作为入侵漏洞,更会在感染装置之后,主动更改PIN码并锁定装置中的文件,让受害者无法操作系统,只能透过缴纳赎金的方式解除系统的锁定状态。
由以银行App为目标的病毒变种而来
根据由ESET内部资安专家所主持的Welivesecurity博客报导,ESET的恶意程式研究员Lukáš Štefanko发现了Android/DoubleLocker.A勒索病毒(以下简称DoubleLocker),它是以某些专门攻击网路银行App的木马程式为基础,透过滥用Android作业系统的协助工具(Accessibility)功能,取得相关权限入侵并控制装置。
在过去,这类通过协助工具入侵装置的病毒,大多是以侧录键盘(Keylogger)为目的,在受害者操作网路银行App的过程中,窃取帐号与密码,以便进行后续的盗领动作,然而DoubleLocker却是第1款以协助工具作为入侵漏洞的勒索病毒。
DoubleLocker散播的途径与网路银行App病毒相当类似,它往往伪装成Adobe Flash Player的App,当该App启动之后,DoubleLocker就会要求名为「Google Play Service」的协助工具的执行权限。
一旦DoubleLocker取得协助工具权限之后,它就会进一步取得装置的管理员权限,并将自己设为系统主选单的预设程式,这些动作当然都没有经过受害者的同意。
▲ DoubleLocker通常会伪装成Adobe Flash Player。
▲ DoubleLocker会利用协助工具的漏洞入侵装置。
▲当受害者授予Google Play Service的执行权限后,装置就会被DoubleLocker感染。
按下Home键系统就锁死
当DoubleLocker把自己设为预设主选单之后,无论受害者在任何状态按下Home键,病毒就会被启动,然后将装置锁定,而受害者也不会查觉这个动作竟然是启动病毒的关键。
DoubleLocker开始运作之后,首先会先篡改装置的PIN码,让受害者无法再操作装置,然而麻烦的是,新的PIN码是以乱数决定,并且不会储存或回传给攻击者,所以不容易将它解除。
此外DoubleLocker还会将装置主要储存路径中的档案透过AES演算法加密,并将档案副档名改成「.cryeye」,若受害者无法得知加密金钥,那么也无法解除档案锁定。病毒会要求受害者必需在24小时内支付0.013比特币,但是若未在时限内支付,文件也不会被删除,只是会维持锁定状态。
Štefanko表示,当装置感染DoubleLocker之后,一般情况下只能通过重置装置(回复到出厂预设状态)的方式清除病毒。但是如果受害装置已经Root,且DoubleLocker还没被启动(还没按下Home键)的话,则可透过ADB进入装置并移除PIN码,接着在安全模式中移除病毒的管理员权限,接着将病毒清除即可。不过如果装置中的档案已经被加密锁定的话,情况就与其他勒索病毒一样,必需缴纳赎金才能将档案解锁。
为了要避免智慧型手机或平板电脑不受威胁,还是那句老话,不要安装来路不明的程式,而且时常备份装置中的档案才是上策。
▲当DoubleLocker启动之后,就会出现勒索信息。
▲嗯,赎金可以利用「扫码支付」,相当先进。
▲被加密锁定的档案副档名会被改成「.cryeye」。