盘古实验室揭秘：安卓手机勒索软件套路（内含安卓勒索软件快速解锁方法！）

小编按：本文来自盘古实验室，小编()获授权发布。

2017年2月13-17日，RSA Conference 2017信息安全大会在美国旧金山Moscone中心隆重举行。大会第一天就是一系列关于Ransomware（勒索软件）的议题，而在刚刚过去的2016年，“MongDB数据库网络勒索事件”，“ElasticSearch数据库网络勒索 事件”，网络勒索问题已成为互联网安全的重点关注问题之一。

此前，某安全研究人员在知乎专栏爆料，某黑产团伙利用嵌入恶意代码的刷钻应用进行QQ盗号和恶意锁屏，感染用户高达八千人。近日，盘古实验室发现同一团伙传播的升级版恶意应用，企图锁屏用户移动设备，进行敲诈勒索。

在某社区平台，有安卓用户称在QQ群中下载了“爱扣字”这款应用，导致手机被恶意锁住，无法正常使用。

通过感染用户提供的锁屏图片中的QQ群号码，我们找到了管理员的QQ号。管理员的QQ签名明确标注了解锁的价格。

管理员签名：“想要解锁自己的手机，需要联系加QQ群189894077，联系管理员，QQ红包35元，微信支付宝40元。”

盘古实验室在获取到恶意样本后，在安卓模拟器上进行了测试，还原其锁屏触发流程及技术原理。下图为恶意锁屏的触发流程图。

在安装“爱扣字”应用后，打开应用程序，弹出“扣字神器”的安装界面，提示安装“扣字神器”应用。

安装并打开“扣字神器”。“萌宠大揭秘”中的GIDGET，看起来萌萌的。在点击“点击开始免费激活”按钮后，跳转到下图第二个界面。弹窗“激活完全免费”，点击“激活”。

同时第三个界面弹窗询问是否激活设备管理器，激活后，跳转到上图第四个界面。前面的几个界面看起来都相对可靠，这个界面看着些许不适，风格诡异。

点击“点击开始root”后，设备黑屏并重启。重启后，设备已经被恶意应用锁屏。

在整个锁屏触发的过程中，真正具有恶意锁屏行为的应用是“爱扣字”推送安装的程序“扣字神器”。

（1）锁屏原理

锁屏类勒索软件通常利用WindowManager.LayoutParams的flags属性，设置成全屏显示，使悬浮窗口悬浮置顶。本文中的恶意应用也利用了同样的方法。

国内的大多数勒索类软件也大多是利用同样的手段。

除了锁屏，对于按键操作，程序也进行了监控。

当按键为4或82时，执行com.bugzapk.z的代码。4代表的是返回键，82代表的是菜单键。代码中并未出现监控音量键、关机键等特征代码。

com.bugzapk.z中的代码主要作用是将bug.apk放在system目录中，作为系统应用开机启动，达到长期恶意锁屏的目的。

而bug.apk正是重命名的“扣字神器”这款应用。

（2）密码加密算法

应用程序中解锁密码并没有明文存储，而是利用了AES加密和压缩算法，将密码进行加密后存储。

• AES加密：

• 压缩算法：

• 解密前原数据：

• 解密后明文：

（3）其他恶意行为

在恶意应用运行的过程中，会主动请求网页“http://www.wencaojun.top/xnsmtp.html“而网页中的内容是邮箱和一串类似密码的字符串。

历史恶意样本是发送序列号加密后的字符串到指定邮箱，而这个恶意应用虽然保留了部分历史代码，在此基础上添加了代码，但是在测试的过程中并未出现发送邮箱的行为。

在代码中也出现了一些可疑邮箱。

快速解锁只需要三个密码即可。

第一个解锁密码为：

a.安装恶意软件时联网，密码为"http://www.wencaojun.top/sj.html"中声明七中的数字。

b.安装恶意软件时未联网，密码为4312。

第二个解锁密码为：

2415

第三个解锁密码为：

a.若安装时激活设备管理器，密码为"http://www.wencaojun.top/pin.html"中的数字。

b.若安装时未激活设备管理器，密码为3957。

（编辑：ASP站长网）