一种新的Android恶意软件是勒索软件能够永久锁定智能手机或平板电脑的第一个真实例子。
虽然手机恶意软件并不是一种非常常见的威胁,但攻击移动操作系统的代码正在慢慢获得关注——考虑到我们的设备上通常存储了多少敏感数据,以及我们已经学会了如何依赖这些数据,这并不奇怪。
勒索软件是一种软件,它可以锁定受害者的系统,并对文件进行加密以防止被获取。如果受害者希望解锁他们的系统,他们通常会面临用虚拟货币支付的要求,然后这些虚拟货币会被发送给控制恶意软件的网络罪犯。然后将密钥发送给受害者,以解锁他们的PC并解密他们的文件。
这种特别令人讨厌的恶意软件通常出现在标准的个人电脑系统上,但在过去的一年里,为移动系统量身定做的勒索软件已经在野外被发现。
去年发现的Simplocker是首个注册的勒索软件,能够在移动设备或平板电脑上加密用户文件。然而,一种设置手机密码锁的新类型揭示了移动勒索软件是如何迅速发展到诱骗更多受害者的。
参见:勒索软件指南:保护和根除
发现为Android / Lockerpin。首先,ESET的研究人员表示,这种新病毒是已知的首个Android勒索软件设置这种锁的例子,这使得设备很难在不丢失数据的情况下解锁。
在以前的勒索软件示例中,屏幕锁定功能是通过无限循环地将勒索窗口推到前台来实现的。虽然很烦人,但勒索软件可以通过安全模式卸载包含恶意软件的恶意应用程序,或者通过Android Debug Bridge (ADB)轻松清除。
不幸的是,Lockerpin更先进,在没有root特权或安全软件已经安装在设备上的情况下,“没有有效的方法”重新获得访问权限——除非受害者选择执行工厂重置,这会清除设备上存储的所有信息和应用程序。
此外,这个勒索软件还使用了一个卑鄙的伎俩来获取和保护设备管理员的特权,以防止卸载。这是我们第一次在Android恶意软件中观察到这种攻击方式,”研究人员说。
含有勒索木马的恶意应用程序被称为“色情机器人”,伪装成成人视频播放器。大多数被检测到的感染设备都在美国境内,尽管全世界都发现了感染。
下载并安装应用程序后,恶意软件试图通过向受害者显示的虚假“更新补丁安装”窗口获得管理员权限。如果受害者上当受骗并点击,他们会不知不觉地通过一个隐藏的底层窗口授予应用程序设备管理员特权。
一旦点击,就太晚了——因为恶意软件会锁定设备,并为锁定屏幕设置一个新密码。ESET的研究人员并没有将生物识别技术作为测试的一部分,并且告诉ZDNet他们不想推测。
一旦移动设备被牢牢锁定,用户将被要求支付500美元观看非法色情内容。
如果用户试图取消管理员权限,恶意软件中的回调函数将通过迫使受害者回到假的更新屏幕来重新激活管理员权限。此外,如果检测到来自ESET、Avast或Dr.Web的杀毒软件,木马将试图杀死这些进程。
虽然该应用程序可以通过安全模式或ADB卸载,但有一个问题。PIN码是随机生成的,攻击者和受害者都无法访问它——因此正确解锁设备的唯一方法是执行工厂重置。
用户的可取之处是无法从谷歌播放商店下载恶意应用程序。如果你选择从其他来源下载应用程序——如第三方市场或通过torrent软件——你有被感染的风险,因为应用程序没有通过谷歌的安全系统。