隨著智能手機(jī)功能的完善和使用的普及，人們對(duì)電腦和U盤的依賴性有所降低。面對(duì)這一改變，黑客早已將目標(biāo)轉(zhuǎn)向人們已經(jīng)無(wú)法離開的手機(jī)設(shè)備上?；仡?016年，“MongDB數(shù)據(jù)庫(kù)網(wǎng)絡(luò)勒索事件”，“ElasticSearch數(shù)據(jù)庫(kù)網(wǎng)絡(luò)勒索 事件”等，以及近日舉辦的RSA Conference 2017?信息安全大會(huì)，其第一天的議題就是關(guān)于Ransomware(勒索軟件)的一系列討論。這足以說(shuō)明網(wǎng)絡(luò)勒索軟件已成為互聯(lián)網(wǎng)安全的重大隱患之一，亟待解決。

某安全研究人員之前曾爆料，某黑產(chǎn)團(tuán)伙利用嵌入惡意代碼的刷鉆應(yīng)用進(jìn)行QQ盜號(hào)和惡意鎖屏，感染用戶高達(dá)八千人。近日，某實(shí)驗(yàn)室發(fā)現(xiàn)一款升級(jí)版惡意應(yīng)用被傳播，企圖鎖屏用戶移動(dòng)設(shè)備進(jìn)行敲詐勒索，而該應(yīng)用與之前的刷鉆應(yīng)用屬于同一團(tuán)伙所為。

一、惡意應(yīng)用是如何被發(fā)現(xiàn)的？

1 在QQ群中下載了一款名為“愛扣字”的應(yīng)用，導(dǎo)致手機(jī)被惡意鎖住，無(wú)法正常使用。

2?通過(guò)感染用戶提供的鎖屏圖片中的QQ群號(hào)碼，我們找到了管理員的QQ號(hào)。管理員的QQ簽名明確標(biāo)注了解鎖的價(jià)格。

二、惡意應(yīng)用的“工作”流程

1 在安裝“愛扣字”應(yīng)用后，打開應(yīng)用程序，彈出“扣字神器”的安裝界面，提示安裝“扣字神器”應(yīng)用。

2?安裝并打開“扣字神器”?！懊葘櫞蠼颐亍敝械腉IDGET，看起來(lái)萌萌的。在點(diǎn)擊“點(diǎn)擊開始免費(fèi)激活”按鈕后，跳轉(zhuǎn)到下圖第二個(gè)界面。彈窗“激活完全免費(fèi)”，點(diǎn)擊“激活”。

同時(shí)第三個(gè)界面彈窗詢問(wèn)是否激活設(shè)備管理器，激活后跳轉(zhuǎn)到上圖第四個(gè)界面。前面的幾個(gè)界面看起來(lái)都相對(duì)可靠，這個(gè)界面看著些許不適，風(fēng)格詭異。

3?點(diǎn)擊“點(diǎn)擊開始root”后，設(shè)備黑屏并重啟。重啟后，設(shè)備已經(jīng)被惡意應(yīng)用鎖屏。

4 在這個(gè)鎖屏觸發(fā)的過(guò)程中，真正具有惡意鎖屏行為的應(yīng)用不是“愛扣字”，而且其推送安裝的程序“扣字神器”。

三、重點(diǎn)在這里：快速解鎖方法

快速解決只需要三個(gè)密碼即可。

第1個(gè)解鎖密碼：

a 安裝軟件惡意軟件時(shí)聯(lián)網(wǎng)，密碼為?"http://www.wencaojun.top/sj.html"中聲明七中的數(shù)字。

b?安裝惡意軟件時(shí)未聯(lián)網(wǎng)，密碼為4312。

第2個(gè)解鎖密碼：2415

第3個(gè)解鎖密碼：

a?若安裝時(shí)激活設(shè)備管理器，密碼為"http://www.wencaojun.top/pin.html"中的數(shù)字。

b?若安裝時(shí)未激活設(shè)備管理器，密碼為3957。

四 解讀整個(gè)解鎖過(guò)程

1?第一個(gè)解鎖界面

在惡意軟件安裝后，程序會(huì)自動(dòng)發(fā)送HTTP請(qǐng)求到指定的服務(wù)器。若HTTP請(qǐng)求成功，則設(shè)置第一個(gè)解鎖界面的解鎖密碼為網(wǎng)頁(yè)"http://www.wencaojun.top/sj.html"中聲明七中的數(shù)字；若HTTP請(qǐng)求失敗，則設(shè)置第一個(gè)解鎖界面的解鎖密碼為4312。

2?第二個(gè)解鎖界面

第二個(gè)解鎖界面中有三個(gè)密碼可以使用，分別是4951、997998和2415。這幾個(gè)密碼加密存儲(chǔ)在惡意應(yīng)用的代碼中，并不是明文可見。

這里的邏輯處理很有趣。密碼輸入4951會(huì)返回到第一個(gè)解鎖界面；密碼輸入2415，成功解鎖，跳轉(zhuǎn)到第三個(gè)解鎖界面；密碼輸入997998，則會(huì)提示機(jī)型不支持，需提供機(jī)型給管理員解鎖。

這里的機(jī)型是程序通過(guò)獲取設(shè)備信息獲取到的，是真實(shí)信息，但是機(jī)型不支持只是一個(gè)套路罷了。

在輸入997998跳轉(zhuǎn)到如上圖所示界面后，輸入密碼2415跳轉(zhuǎn)到第三個(gè)解鎖界面。

3?第三個(gè)解鎖界面

第三個(gè)解鎖界面實(shí)際上修改了系統(tǒng)的pin值，設(shè)置了新的pin值。

第三個(gè)解鎖界面的解鎖密碼與在安裝程序時(shí)是否激活設(shè)備管理器有關(guān)。程序安裝時(shí)會(huì)詢問(wèn)是否激活設(shè)備管理器。若激活設(shè)備管理器，則程序從遠(yuǎn)程服務(wù)器端獲取密碼，密碼來(lái)源于"http://www.wencaojun.top/pin.html"。若未激活設(shè)備管理器，則密碼為程序加密存儲(chǔ)的數(shù)字3957。

至此，整個(gè)程序才算解鎖完畢。當(dāng)然這僅是解鎖完畢，如果解鎖后沒(méi)有立即刪除該惡意應(yīng)用，重新啟動(dòng)手機(jī)后該應(yīng)用仍會(huì)繼續(xù)自動(dòng)啟動(dòng)并鎖屏。

小編在這里強(qiáng)調(diào)一下，千萬(wàn)不要下載來(lái)源不明的應(yīng)用，每款手機(jī)都有自帶的應(yīng)用商城，請(qǐng)一定在正規(guī)的下載平臺(tái)下載軟件！

Miranda

收藏 海報(bào)分享