愛(ài)作妖的勒索軟件最近越發(fā)猖狂，竟然要受害者在贖回時(shí)“說(shuō)”出解鎖碼才算“有誠(chéng)意”。

這個(gè)消息由賽門鐵克安全團(tuán)隊(duì)向雷鋒網(wǎng)反饋。他們發(fā)現(xiàn)，最新 Android 勒索軟件變體 Android.Lockdroid.E 開(kāi)始具備語(yǔ)音識(shí)別功能。當(dāng)用戶說(shuō)出正確內(nèi)容，勒索軟件才允許用戶“贖回”自己的手機(jī)設(shè)備。該惡意軟件使用語(yǔ)音識(shí)別 API，要求受害者通過(guò)語(yǔ)音，而非傳統(tǒng)的鍵盤輸入方式提供解鎖碼。

在感染設(shè)備后，Android.Lockdroid.E 使用 SYSTEM 類型窗口鎖定設(shè)備，隨后在鎖屏中顯示中文勒索信息，提供解鎖的指示。不僅如此，攻擊者還會(huì)提供可聯(lián)系的QQ號(hào)，使受害者接收有關(guān)支付贖金和接收解鎖碼的進(jìn)一步指示。

悲劇的是，由于設(shè)備已被攻擊者鎖定，用戶必須使用另一臺(tái)設(shè)備與攻擊者進(jìn)行聯(lián)系。

這種奇葩的勒索軟件必須看一下，以下就是安卓手機(jī)中招后的屏幕畫(huà)面及勒索頁(yè)面，勒索信息顯示，要求受害者按下按鈕，啟動(dòng)語(yǔ)音識(shí)別功能。

【帶有指示的鎖定屏幕】

原來(lái)，這個(gè)惡意軟件使用了第三方語(yǔ)音識(shí)別的 API，將受害者所說(shuō)的語(yǔ)音與預(yù)期密碼進(jìn)行比較。如果輸入信息匹配，惡意軟件便會(huì)解鎖屏幕。在一些情況下，惡意軟件還會(huì)對(duì)需要識(shí)別的語(yǔ)音進(jìn)行標(biāo)準(zhǔn)化，以適應(yīng)自動(dòng)語(yǔ)音識(shí)別器自身的輕微誤差。

該惡意軟件將鎖屏圖片和相關(guān)密碼存放在一個(gè)包含額外填充內(nèi)容的編碼“資產(chǎn)”文件夾中。賽門鐵克安全團(tuán)隊(duì)曾采用自動(dòng)化腳本成功提取密碼。下圖中就顯示了部分惡意軟件所使用的密碼類型。值得注意的是，該惡意軟件會(huì)對(duì)每臺(tái)感染設(shè)備使用不同的密碼。

 

【惡意軟件所啟動(dòng)的語(yǔ)音識(shí)別模塊】

【該惡意軟件所用的密碼示例】

雷鋒網(wǎng)了解到，之前賽門鐵克的安全專家曾發(fā)現(xiàn)另一種 Android.Lockdroid.E 變體使用低效 2D 條形碼對(duì)用戶實(shí)施勒索。該惡意軟件要求用戶掃描鎖屏上的代碼，并使用另一臺(tái)設(shè)備登錄通訊 app 支付贖金，這種勒索方式使受害者難以支付贖金，攻擊者也難以收取贖金。

于是，這個(gè)作妖的軟件開(kāi)發(fā)者又想出了現(xiàn)在這個(gè)辦法。

沒(méi)想到，此次最新使用的語(yǔ)音識(shí)別方法同樣要求受害者通過(guò)另一臺(tái)設(shè)備與攻擊者進(jìn)行聯(lián)系，效率仍然較低。

這不是開(kāi)發(fā)者作妖的終點(diǎn)。

通過(guò)分析最新 Android.Lockdroid.E變體，賽門鐵克安全團(tuán)隊(duì)還發(fā)現(xiàn)了幾個(gè)執(zhí)行漏洞，例如，不當(dāng)?shù)囊l(fā)語(yǔ)音識(shí)別意圖，以及復(fù)制和粘貼錯(cuò)誤。

顯然，該惡意軟件開(kāi)發(fā)者正在不斷嘗試新的方法向受害者進(jìn)行勒索。賽門鐵克認(rèn)為，這絕不會(huì)是該惡意軟件系列的最后伎倆。

因此，賽門鐵克對(duì)雷鋒網(wǎng)表示，建議采用以下措施防御移動(dòng)威脅： 

· 及時(shí)對(duì)軟件進(jìn)行更新，確保軟件為最新版本；

· 避免從陌生網(wǎng)站下載應(yīng)用，只信任安裝來(lái)自可靠來(lái)源的應(yīng)用；

· 密切關(guān)注任何應(yīng)用申請(qǐng)的權(quán)限；

· 安裝一款合適的移動(dòng)安全應(yīng)用軟件，保護(hù)自身設(shè)備和數(shù)據(jù)；

· 定期對(duì)重要數(shù)據(jù)進(jìn)行備份。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。