賽門鐵克安全團隊最近發現,android.lockscreen(鎖屏惡意軟體)的新變種正在通過僞随機密碼,阻止受害者在不支付贖金的情況下解鎖裝置。此前,這類勒索軟體的早期版本使用寫死密碼鎖定螢幕。然而,安全專業人士能夠對代碼進行反向工程,為受害者提供密碼解鎖裝置。此外,攻擊者通過結合自定義鎖屏和裝置鎖屏來增加解鎖難度。賽門鐵克過去針對類似移動威脅的監測顯示,此類木馬程式能夠在傳播前,直接在移動裝置上進行建立。經過分析,賽門鐵克安全團隊發現在中國出現的此類安全威脅為android.lockscreen(鎖屏惡意軟體)。
僞随機密碼
一旦移動裝置感染木馬,這類惡意軟體便會建立一個自定義的“系統錯誤”視窗,強行覆寫在感染裝置每一個可見的ui之上。此時,惡意軟體會在視窗中顯示恐吓消息,告知受害者通過聯系攻擊者才能獲得解鎖密碼。
圖1.鎖屏視窗:告知受害者如何解鎖裝置的系統錯誤視窗
此前,這類木馬的舊版本使用密碼來解鎖樣本代碼中的裝置寫死,而新變種版本則淘汰了寫死密碼,并替換為僞随機編碼,部分變種木馬會生成六位數或八位數編碼。
圖2.六位數代碼的僞随機數生成器
圖3.八位數代碼的僞随機數生成器
在圖2所展示的攻擊事件中,解鎖密碼為137911,生成方式為:139911 – 2000 = 137911。由于使用“math.random()”函數計算得出的基數不同,是以每個感染裝置所生成的編碼也有所不同。
雙鎖屏
為了增強解鎖難度,這類惡意軟體的作者還會結合使用僞随機密碼和以往采用的攻擊手段。除了使用“系統錯誤”視窗這類定制化鎖屏外,攻擊者還會利用裝置管理者權限更改android裝置的正常鎖屏pin密碼。但值得一提的是,如果使用者在裝置感染之前設定了pin密碼,那麼android nougat将會阻止攻擊者調用“resetpassword()”。
賽門鐵克建議使用者采用以下措施,抵禦移動威脅:
·及時更新并確定軟體為最新版本;
·避免從陌生網站下載下傳移動應用,隻信任安裝來自可靠來源的移動應用程式;
·密切注意應用所請求的權限;
·在移動裝置中安裝一款合适的移動安全應用,以保護裝置和資料安全,比如諾頓;
·定期備份裝置中的重要資料;
本文轉自d1net(轉載)