导语:今天我们要介绍的是一种新型勒索软件,之所以说是新型,是因为它和以往的勒索软件有着非常明显的区别,不仅可以对手机中的数据进行加密,还可以更改手机上的锁屏密码。

 DoubleLocker_Android-623x432.jpg

今天我们要介绍的是一种新型勒索软件,之所以说是新型,是因为它和以往的勒索软件有着非常明显的区别,不仅可以对手机中的数据进行加密,还可以更改手机上的锁屏密码。也就是说,受害者不仅查看不了数据,甚至连手机都打不开。

这一新型勒索软件名叫DoubleLocker,从其名字就可以看出,它会对设备进行两次上锁。这种勒索软件是由斯洛伐克安全公司ESET的安全研究员发现。

DoubleLocker是第一例会滥用安卓accessibility功能的勒索软件,Android accessibility是一种非常使用的辅助功能,可以帮助用户更好的体验智能手机的优势,但是现在却被大量的银行木马利用,用于窃取银行登录凭证(账号、密码等)。

ESET的安全研究员Lukáš Štefanko解释称:

鉴于银行木马家族的强大,DoubleLocker很可能成为基于银行的勒索软件。DoubleLocker第一步是清除你的银行或者 PayPal 账户,第二步是更改手机密码、加密手机上的数据,最后就是勒索了。

安全研究员是在今年5月份首次发现这种勒索软件,刚开始是以虚假 Adobe Flash 更新传播的。由于其功能的多样性,相信不久的将来,DoubleLocker会被用于网络银行欺诈。

勒索原理

一旦勒索软件安装成功,它会请求用户激活'Google Play Services'accessibility 功能。在获得accessibility权限之后,DoubleLocker便会利用它获取设备的管理员权限,然后将自己设置成系统默认的软件(a launcher)。

每次用户点击home键的时候都会激活勒索软件,设备就会被再次锁住。由于使用了accessibility功能,用户并不知道他们每次点击home键就会激活勒索软件。

一旦执行,DoubleLocker会立即将手机密码更改成一个随机值,然后再用AES加密算法对手机内的数据进行加密。DoubleLocker的勒索赎金是0.0130比特币(约合74.38美元),并且要求在24小时内支付。如果受害者支付了赎金,攻击者就会提供数据的解密密码,然后远程解锁手机。

Figure1-576x1024.png

Figure2-576x1024.png

怎样保护自己呢?

我们都知道,要解密被加密的文件几乎是不可能的事情,就连FBI也没有办法。

对于未root的手机,用户可以强制恢复成出厂设置,这样就能解锁手机,也能删除DoubleLocker。

对于root的手机,可以利用Android Debug Bridge (ADB) 工具重置手机密码。

源链接

Hacking more

...