雷鋒網(wǎng)按：本文來自盤古實驗室，雷鋒網(wǎng)獲授權發(fā)布。

2017年2月13-17日，RSA Conference 2017 信息安全大會在美國舊金山Moscone中心隆重舉行。大會第一天就是一系列關于Ransomware（勒索軟件）的議題，而在剛剛過去的2016年，“MongDB數(shù)據(jù)庫網(wǎng)絡勒索事件”，“ElasticSearch數(shù)據(jù)庫網(wǎng)絡勒索 事件”，網(wǎng)絡勒索問題已成為互聯(lián)網(wǎng)安全的重點關注問題之一。

此前，某安全研究人員在知乎專欄爆料，某黑產(chǎn)團伙利用嵌入惡意代碼的刷鉆應用進行QQ盜號和惡意鎖屏，感染用戶高達八千人。近日，盤古實驗室發(fā)現(xiàn)同一團伙傳播的升級版惡意應用，企圖鎖屏用戶移動設備，進行敲詐勒索。

一、背景概述

在某社區(qū)平臺，有安卓用戶稱在QQ群中下載了“愛扣字”這款應用，導致手機被惡意鎖住，無法正常使用。

通過感染用戶提供的鎖屏圖片中的QQ群號碼，我們找到了管理員的QQ號。管理員的QQ簽名明確標注了解鎖的價格。

管理員簽名：“想要解鎖自己的手機，需要聯(lián)系加QQ群189894077，聯(lián)系管理員，QQ紅包35元，微信支付寶40元。”

二、惡意鎖屏觸發(fā)流程

盤古實驗室在獲取到惡意樣本后，在安卓模擬器上進行了測試，還原其鎖屏觸發(fā)流程及技術原理。下圖為惡意鎖屏的觸發(fā)流程圖。

在安裝“愛扣字”應用后，打開應用程序，彈出“扣字神器”的安裝界面，提示安裝“扣字神器”應用。

安裝并打開“扣字神器”?！懊葘櫞蠼颐亍敝械腉IDGET，看起來萌萌的。在點擊“點擊開始免費激活”按鈕后，跳轉到下圖第二個界面。彈窗“激活完全免費”，點擊“激活”。

同時第三個界面彈窗詢問是否激活設備管理器，激活后，跳轉到上圖第四個界面。前面的幾個界面看起來都相對可靠，這個界面看著些許不適，風格詭異。

點擊“點擊開始root”后，設備黑屏并重啟。重啟后，設備已經(jīng)被惡意應用鎖屏。

在整個鎖屏觸發(fā)的過程中，真正具有惡意鎖屏行為的應用是“愛扣字”推送安裝的程序“扣字神器”。

三、樣本技術原理

（1）鎖屏原理

鎖屏類勒索軟件通常利用WindowManager.LayoutParams的flags屬性，設置成全屏顯示，使懸浮窗口懸浮置頂。本文中的惡意應用也利用了同樣的方法。

國內(nèi)的大多數(shù)勒索類軟件也大多是利用同樣的手段。

除了鎖屏，對于按鍵操作，程序也進行了監(jiān)控。

當按鍵為4或82時，執(zhí)行com.bugzapk.z的代碼。4代表的是返回鍵，82代表的是菜單鍵。代碼中并未出現(xiàn)監(jiān)控音量鍵、關機鍵等特征代碼。

com.bugzapk.z中的代碼主要作用是將bug.apk放在system目錄中，作為系統(tǒng)應用開機啟動，達到長期惡意鎖屏的目的。

而bug.apk正是重命名的“扣字神器”這款應用。

（2）密碼加密算法

應用程序中解鎖密碼并沒有明文存儲，而是利用了AES加密和壓縮算法，將密碼進行加密后存儲。

• AES加密：

• 壓縮算法：

• 解密前原數(shù)據(jù)：

• 解密后明文：

（3）其他惡意行為

在惡意應用運行的過程中，會主動請求網(wǎng)頁“http://www.wencaojun.top/xnsmtp.html“而網(wǎng)頁中的內(nèi)容是郵箱和一串類似密碼的字符串。

歷史惡意樣本是發(fā)送序列號加密后的字符串到指定郵箱，而這個惡意應用雖然保留了部分歷史代碼，在此基礎上添加了代碼，但是在測試的過程中并未出現(xiàn)發(fā)送郵箱的行為。

在代碼中也出現(xiàn)了一些可疑郵箱。

四、快速解鎖

快速解鎖只需要三個密碼即可。

第一個解鎖密碼為：

a.安裝惡意軟件時聯(lián)網(wǎng)，密碼為 "http://www.wencaojun.top/sj.html"中聲明七中的數(shù)字。

b.安裝惡意軟件時未聯(lián)網(wǎng)，密碼為4312。

第二個解鎖密碼為：

2415

第三個解鎖密碼為：

a.若安裝時激活設備管理器，密碼為"http://www.wencaojun.top/pin.html"中的數(shù)字。

b.若安裝時未激活設備管理器，密碼為3957。

五、解鎖細節(jié)分析

在整個解鎖的流程中，并不如“解鎖管理員”簽名中所述，解鎖只需35元或者40元就可以解除屏幕鎖定。經(jīng)過測試我們發(fā)現(xiàn)，想要解鎖設備至少要有三個密碼才能解鎖。而這些密碼，與解鎖界面中生成的序列號毫無關系，其中有兩個密碼保存在遠程服務器上，管理員可以隨意修改。

（a）第一個解鎖界面

在惡意軟件安裝后，程序會自動發(fā)送HTTP請求到指定的服務器。若HTTP請求成功，則設置第一個解鎖界面的解鎖密碼為網(wǎng)頁"http://www.wencaojun.top/sj.html"中聲明七中的數(shù)字；若HTTP請求失敗，則設置第一個解鎖界面的解鎖密碼為4312。

（b）第二個解鎖界面

第二個解鎖界面中有三個密碼可以使用，分別是4951、997998和2415。這幾個密碼加密存儲在惡意應用的代碼中，并不是明文可見。

這里的邏輯處理很有趣。密碼輸入4951會返回到第一個解鎖界面；密碼輸入2415，成功解鎖，跳轉到第三個解鎖界面；密碼輸入997998，則會提示機型不支持，需提供機型給管理員解鎖。

這里的機型是程序通過獲取設備信息獲取到的，是真實信息，但是機型不支持只是一個套路罷了。

在輸入997998跳轉到如上圖所示界面后，輸入密碼2415跳轉到第三個解鎖界面。

（c）第三個解鎖界面

第三個解鎖界面實際上修改了系統(tǒng)的pin值，設置了新的pin值。

第三個解鎖界面的解鎖密碼與在安裝程序時是否激活設備管理器有關。

程序安裝時會詢問是否激活設備管理器。若激活設備管理器，則程序從遠程服務器端獲取密碼，密碼來源于"http://www.wencaojun.top/pin.html"。若未激活設備管理器，則密碼為程序加密存儲的數(shù)字3957。

至此，整個程序才算解鎖完畢。當然，這僅是解鎖完畢。如果解鎖后沒有立即刪除該惡意應用，重新啟動手機后該應用仍會繼續(xù)自動啟動并鎖屏。

六、惡意鎖屏產(chǎn)業(yè)鏈

惡意樣本代碼中包含若干手機號碼、QQ號、QQ群等信息，根據(jù)以上信息及感染用戶提供的信息摸索，其產(chǎn)業(yè)鏈也越發(fā)清晰。

該團伙利用受害者貪小便宜的心理，多次在安卓逆向破解群、安卓反編譯群、扣字群、QQ刷贊群等多個群中埋伏，在群文件中共享包含惡意代碼的鎖屏應用，并偽造成免費應用的樣子，伺機傳播。

在用戶下載安裝后，通過指定QQ群進行聯(lián)系。QQ群一般偽裝成普通的游戲交流群或日常溝通群。

通常情況下，群主不參與整個勒索的流程，會提示受害者聯(lián)系管理員進行解鎖。管理員則會對受害者多次索取解鎖費，達到勒索錢財?shù)哪康摹?br/>

勒索團伙具備高度的反偵查意識。在獲取樣本后的短短幾天內(nèi)多次更換群主和管理員，解散QQ群，建立新的牟利鏈。

QQ賬號注冊成本低，一個手機號碼可注冊多個QQ號。即使QQ號被舉報，被騰訊公司收回，也可以使用相同的手機號繼續(xù)注冊，并且經(jīng)常更換QQ號碼也會在一定程度上避免其賬號在社交平臺大肆流傳，影響牟利。

而之前在其他社交平臺被披露的QQ群，大多數(shù)已解散?，F(xiàn)在仍舊被用來維持業(yè)務的QQ群基本上都是16年之后建立的。

與其他敲詐勒索團伙不同的是，這個團伙在百度貼吧中專門建了一個貼吧進行自己的解鎖宣傳。雖然貼吧排名不高，帖子數(shù)量少的可憐，但是仍然可以通過其中幾個解鎖管理員的QQ搜索到。

正如惡意樣本技術分析中描述的一樣，用戶設備受到感染至少執(zhí)行3個步驟，至少可牟利100元。而這樣低成本的惡意鎖屏軟件，每天感染3個用戶，月收入就過萬了，日積月累，涉案金額并不是一個小數(shù)目。

七、安全建議

惡意鎖屏敲詐勒索的事件中，所安裝的應用均來自QQ群，論壇等非正規(guī)渠道，而這些渠道并不具備大型應用市場相對嚴格的審核制度。

• 對于已經(jīng)感染該惡意樣本的用戶，可通過本文中的解鎖流程進行解鎖操作，解鎖后立即刪除該應用，避免掉入循環(huán)付費解鎖的黑洞。

• 針對安卓用戶，應盡量避免安裝來歷不明的應用，對于應用獲取root權限等敏感行為的操作也應該保持警惕，避免遭受損失。

雷峰網(wǎng)版權文章，未經(jīng)授權禁止轉載。詳情見轉載須知。