盘古实验室揭秘：安卓手机勒索软件套路（内含安卓勒索软件快速解锁方法！）

盘古实验室揭秘：安卓手机勒索软件套路（内含安卓勒索软件快速解锁方法！）

　　鼠标宏编程软件,嵌入式开发软件,手机发热软件2017年2月13-17日，RSA Conference 2017信息安全大会在美国旧金山Moscone中心隆重举行。大会第一天就是一系列关于Ransomware（勒索软件）的议题，而在刚刚过去的2016年，“MongDB数据库网络勒索事件”，“ElasticSearch数据库网络勒索 事件”，网络勒索问题已成为互联网安全的重点关注问题之一。

　　此前，某安全研究人员在知乎专栏爆料，某黑产团伙利用嵌入恶意代码的刷钻应用进行QQ盗号和恶意锁屏，感染用户高达八千人。近日，盘古实验室发现同一团伙传播的升级版恶意应用，企图锁屏用户移动设备，进行敲诈勒索。

　　在某社区平台，有安卓用户称在QQ群中下载了“爱扣字”这款应用，导致手机被恶意锁住，无法正常使用。

　　通过感染用户提供的锁屏图片中的QQ群号码，我们找到了管理员的QQ号。管理员的QQ签名明确标注了解锁的价格。

　　管理员签名：“想要解锁自己的手机，需要联系加，联系管理员，QQ红包35元，微信支付宝40元。”

　　盘古实验室在获取到恶意样本后，在安卓模拟器上进行了测试，还原其锁屏触发流程及技术原理。下图为恶意锁屏的触发流程图。

　　在安装“爱扣字”应用后，打开应用程序，弹出“扣字神器”的安装界面，提示安装“扣字神器”应用。

　　安装并打开“扣字神器”。“萌宠大揭秘”中的GIDGET，看起来萌萌的。在点击“点击开始免费激活”按钮后，跳转到下图第二个界面。弹窗“激活完全免费”，点击“激活”。

　　同时第三个界面弹窗询问是否激活设备管理器，激活后，跳转到上图第四个界面。前面的几个界面看起来都相对可靠，这个界面看着些许不适，风格诡异。

　　点击“点击开始root”后，设备黑屏并重启。重启后，设备已经被恶意应用锁屏。

　　在整个锁屏触发的过程中，真正具有恶意锁屏行为的应用是“爱扣字”推送安装的程序“扣字神器”。

　　锁屏类勒索软件通常利用outParams的flags属性，设置成全屏显示，使悬浮窗口悬浮置顶。本文中的恶意应用也利用了同样的方法。

　　当按键为4或82时，执行com.bugzapk.z的代码。4代表的是返回键，82代表的是菜单键。代码中并未出现监控音量键、关机键等特征代码。

　　com.bugzapk.z中的代码主要作用是将bug.apk放在system目录中，作为系统应用开机启动，达到长期恶意锁屏的目的。

　　应用程序中解锁密码并没有明文存储，而是利用了AES加密和压缩算法，将密码进行加密后存储。

　　历史恶意样本是发送序列号加密后的字符串到指定邮箱，而这个恶意应用虽然保留了部分历史代码，在此基础上添加了代码，但是在测试的过程中并未出现发送邮箱的行为。

　　在整个解锁的流程中，并不如“解锁管理员”签名中所述，解锁只需35元或者40元就可以解除屏幕锁定。经过测试我们发现，想要解锁设备至少要有三个密码才能解锁。而这些密码，与解锁界面中生成的序列号毫无关系，其中有两个密码保存在远程服务器上，管理员可以随意修改。

　　在恶意软件安装后，程序会自动发送HTTP请求到指定的服务器。若HTTP请求成功，则设置第一个解锁界面的解锁密码为网页中声明七中的数字；若HTTP请求失败，则设置第一个解锁界面的解锁密码为4312。

　　第二个解锁界面中有三个密码可以使用，分别是4951、997998和2415。这几个密码加密存储在恶意应用的代码中，并不是明文可见。

　　这里的逻辑处理很有趣。密码输入4951会返回到第一个解锁界面；密码输入2415，成功解锁，跳转到第三个解锁界面；密码输入997998，则会提示机型不支持，需提供机型给管理员解锁。

　　这里的机型是程序通过获取设备信息获取到的，是真实信息，但是机型不支持只是一个套路罢了。

　　在输入997998跳转到如上图所示界面后，输入密码2415跳转到第三个解锁界面。

　　程序安装时会询问是否激活设备管理器。若激活设备管理器，则程序从远程服务器端获取密码，密码来源于。若未激活设备管理器，则密码为程序加密存储的数字3957。

　　至此，整个程序才算解锁完毕。当然，这仅是解锁完毕。如果解锁后没有立即删除该恶意应用，重新启动手机后该应用仍会继续自动启动并锁屏。

　　恶意样本代码中包含若干手机号码、QQ号、QQ群等信息，根据以上信息及感染用户提供的信息摸索，其产业链也越发清晰。

　　该团伙利用受害者贪小便宜的心理，多次在安卓逆向破解群、安卓反编译群、扣字群、QQ刷赞群等多个群中埋伏，在群文件享包含恶意代码的锁屏应用，并伪造成免费应用的样子，伺机传播。

　　在用户下载安装后，通过指定QQ群进行联系。QQ群一般伪装成普通的游戏交流群或日常沟通群。

　　通常情况下，群主不参与整个勒索的流程，会提示受害者联系管理员进行解锁。管理员则会对受害者多次索取解锁费，达到勒索钱财的目的。

　　勒索团伙具备高度的反侦查意识。在获取样本后的短短几天内多次更换群主和管理员，解散QQ群，建立新的牟利链。

　　QQ账号注册成本低，一个手机号码可注册多个QQ号。即使QQ号被举报，被腾讯公司收回，也可以使用相同的手机号继续注册，并且经常更换QQ号码也会在一定程度上避免其账号在社交平台大肆流传，影响牟利。

　　而之前在其他社交平台被披露的QQ群，大多数已解散。现在仍旧被用来维持业务的QQ群基本上都是16年之后建立的。

　　与其他敲诈勒索团伙不同的是，这个团伙在中专门建了一个贴吧进行自己的解锁宣传。虽然贴吧排名不高，帖子数量少的可怜，但是仍然可以通过其中几个解锁管理员的QQ搜索到。

　　正如恶意样本技术分析中描述的一样，用户设备受到感染至少执行3个步骤，至少可牟利100元。而这样低成本的恶意锁屏软件，每天感染3个用户，月收入就过万了，日积月累，涉案金额并不是一个小数目。

　　恶意锁屏敲诈勒索的事件中，所安装的应用均来自QQ群，论坛等非正规渠道，而这些渠道并不具备大型应用市场相对严格的审核制度。

　　对于已经感染该恶意样本的用户，可通过本文中的解锁流程进行解锁操作，解锁后立即删除该应用，避免掉入循环付费解锁的黑洞。

　　针对安卓用户，应尽量避免安装来历不明的应用，对于应用获取root权限等敏感行为的操作也应该保持警惕，避免遭受损失。