欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

锁屏病毒加密对抗衍变:强制锁屏并以支付解锁盗取钱财

来源:本站整理 作者:佚名 时间:2018-03-29 TAG: 我要投稿

置顶勒索病毒是指具有系统破坏及流氓行为,启动后强制将自身界面置于设备屏幕上方或者修改用户设备的锁屏密码,致使用户无法正常使用设备,并以支付解锁对用户进行勒索。
一.置顶勒索加密变种对抗时间轴:
置顶勒索软件加密对抗版本更新十分频繁花式多样,增加检测难度

二.病毒特点:
* 该程序自身携带恶意子包,启动后,诱骗用户开启ROOT权限,释放自身代码至系统路径,导致无法正常卸载
* 该程序在无法获取ROOT权限时,诱骗用户激活设备管理器
* 该程序采用多重锁屏、频繁重置PIN码的方式对用户手机屏幕进行锁屏
三.置顶勒索病毒云查用户感染趋势:

四.置顶勒索伪装类别分布:
置顶勒索软件通常会伪装成各种极具诱惑力的软件,例如色情播放器、会员账号类、游戏外挂、WIFI密码破解等


五.置顶勒索加密对抗技术点:
5.1 代码中出现使用汉字字符作为加密关键字

5.2 使用Base64加密算法代码

5.3 使用DES加密算法代码

5.4 在代码中检测是否含有**目录,才会安装病毒文件

5.5 代码中出现使用日语字符作为加密关键字

5.6 使用HTTP网络下载病毒子包

5.7 弹窗提示输入数字,下载病毒子包

5.8 使用加固方案并且对AndroidManifest.xml文件做特殊处理

六.置顶勒索详情分析:
病毒执行流程:

代码分析:
6.1 启动病毒激活设备管理器,阻止用户正常卸载

6.2 当用户点击激活后,读取pin.txt文件中字符串并进行解密,设置解密出来字符串为PIN码,即为锁屏密码

6.3 读取pin.txt文件中的字符串

6.4 pin.txt存放的字符串进行解密操作,使用Base64解密算法进行解密

6.5 通过addView方法加载一个悬浮窗,设置WindowManager.LayoutParams的flags属性为某些固定值,配合SYSTEM_ALERT_WINDOW的权限,使这个悬浮窗全屏置顶且无法清除

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载