ESET的在线社论渠道Welivesecurity最近发布了对美国境内蔓延的新Android勒索软件的分析。
ESET团队称之为Android/Lockerpin.A的新恶意软件与以前报道的lansomware在同一家族中锁定了Android设备屏幕。在较早的版本中,将通过为赎金屏幕不断弹出的循环代码锁定屏幕,从而将用户“锁定”到移动设备中。
一个很好的例子是Android Defender,它伪装成虚假的防病毒应用程序,而Simplocker则将该过程进一步缩小并加密了用户文件。两者都由ADB(Android调试桥)和通过停用管理员权利轻松解决,这使恶意软件可以在安全模式下卸载。
但是,Android/lockerpin.a将其提高到一个全新的级别,并通过访问设备管理员的权利来为手机设置新的PIN锁定。只有在用户下载并安装了恶意软件之后,正如ESET报道的那样,它将自己伪装成一个名为Porn Droid的应用程序,以观看成人视频。该应用程序无法通过Google的Play商店获得,但可以通过第三方Android应用程序数据库找到到移动设备的方法。
安装恶意软件后,它将提示用户更新和修补应用程序以使其运行。但是,用户不知道,该补丁已经授予了感染管理员的特权,并将在不久后锁定该设备。
“单击按钮后,用户的设备注定要失败:Trojan应用程序已默默地获得了管理员权利,现在可以锁定该设备,更糟糕的是,它为锁定屏幕设定了一个新的PIN,”著名的卢卡斯·史蒂芬科(Lukas Stefanko),ESET的恶意软件研究员。
然后,勒索软件将闪烁伪造的联邦调查局警告,该警告告诉用户,由于拥有可疑文件并使用了禁止的色情门户网站,该设备已被锁定。它还指出,设备所有者被认为是犯罪主题,其位置和面部快照已经上传到联邦调查局的数据中心。伪造的警告还带来了威胁,即如果用户试图断开,解锁或处置设备,则$ 500费用(通过恰当地命名为“付款罚款”的某些链接支付的$ 500费用,将三倍。
显示警告后,Android/lockerpin.A将锁定设备。正常的响应是卸载恶意软件,但是编写勒索软件代码的实体已从以前的菌株中记录了一些笔记。它具有注册的回调功能,这是一个叠加的假窗口,每当删除特权时都会重新激活特权。它也被编码以保护自己免受移动防病毒应用程序的侵害,例如ESET,Avast和Dr.Web。
即使恶意软件以某种方式删除,它仍然无法解决引脚问题。如果用户试图重置被随机生成并发送到攻击者的PIN,则可能会永久锁定设备。
唯一真正的解决方案是通过将手机重置为出厂设置,该设置删除了存储在手机中的所有内容,或者如果手机扎根,则通过ADB连接到设备并删除存储PIN的文件。那些具有移动设备管理(MDM)解决方案能够重置PIN的人也将能够解锁手机而无需重置出厂设置。
