0x02 Android平台勒索软件现状

0x02 Android平台勒索软件现状

360安全卫士·2016/04/13 9:14

:360移动安全团队

0x00 摘要 0x01 平台勒索软件简介 1. 勒索软件定义

移动勒索软件是一种锁定用户移动设备，阻止用户正常使用设备，并迫使用户支付解锁费用的恶意软件[1]。

2. 勒索软件的表现形式

1）主要是通过设置手机触摸屏部分或者虚拟按键的触摸反馈无效，使触摸区域不响应触摸事件。

2）频繁强制页面置顶，导致手机无法正常切换应用程序。

3）设置手机锁PIN码，无法解锁手机系统。

3. 勒索软件的危害

1）向用户勒索钱财

2）加密手机文件并销毁用户数据

3）清除手机应用程序并破坏手机系统

4. 勒索软件历史演变 0x02 平台勒索软件现状 1. 勒索软件恶意样本感染量

截至2016年第一季度，勒索软件历史上已感染近90万部手机。 通过对比2015年至2016年的季度感染趋势可以看出，2015年第三季度，有近35万部新手机被感染。

2、勒索软件恶意样本数量

截至2016年第一季度，共捕获超过76,000个勒索软件恶意样本。 通过对比2015年至2016年的季度变化可以看出，国外勒索病毒恶意软件增长迅速，并在2015年第三季度爆发，季度捕获量接近2.5万个。 从国内勒索病毒的增长趋势来看，虽然没有爆发式增长，但呈现出稳步上升的趋势。

3. 常见伪装物品

对比国内外勒索病毒最常见的伪装软件名称可以看出，国外勒索病毒最常见的伪装形式是色情视频、Adobe Flash、系统软件更新等软件。 国内勒索软件恶意软件通常伪装成工件、插件和各种软件，以提高钻石、点赞和受欢迎程度。 这类软件往往利用了人与人之间比较的虚荣心和运气。

4. 用户流失估算

2015年，超过11.5万部国内用户手机被感染，2016年第一季度，近3万部国内用户手机被感染。 每个勒索病毒的解锁费用通常为20元、30元或50元不等。 按每个用户向勒索者支付30元计算，2015年国内用户遭受的损失达345万元。 2016年第一季度国内用户流失近90万。

0x03 平台勒索病毒技术原理一、锁屏技术原理

1）使用 的 flags 属性。

使用该方法实现悬浮窗，设置.的flags属性，例如“”、“N”以及“”的权限，使悬浮窗全屏且无法清除，导致手机屏幕被锁定，无法正常使用。

2）使用劫持

通过定期监控顶层，如果检测到不是自己的程序，就会重启并设置值为“SK”来覆盖原来的程序，从而利用劫持的方式达到将勒索页面放到顶层的效果并结束原来的后台进程。 目前.0以上的版本已经采取了保护机制来防止这种攻击方式，但5.0以下的系统仍然占大多数。

3）屏蔽虚拟按键

通过重写的方式，遮挡返回键、音量键、菜单键等虚拟按键，造成不响应按键动作的效果，从而达到锁屏的目的。

4）使用设备管理器设置解锁PIN码

通过诱导用户激活设备管理器，勒索软件会在用户不知情的情况下强制在手机上设置解锁PIN码，从而使用户无法解锁手机。

5）利用Root权限篡改系统文件

如果手机之前设置过解锁PIN码，勒索病毒会诱使用户授予Root权限，篡改/data//.key文件，设置新的解锁PIN码来替换旧的解锁PIN码，而无需修改旧的解锁PIN码。用户的知识，从而锁定屏幕。 目的。

2. 如何生成解锁码

1）解锁码硬编码在代码中

某些勒索软件将解锁代码硬编码在代码中。 此类勒索软件具有独特的解锁码，没有复杂的加密或计算逻辑。 解锁码很容易找到，也比较简单。

2）根据序列号计算解锁码

大多数勒索软件不是硬编码，而是在页面上显示序列号，恶意软件作者使用该序列号来识别锁定的移动设备号码。 部分勒索软件解锁代码是根据序列号计算出来的。 例如下图中的fkey代表序列号，是随机生成的数字； key代表解锁码，解锁码由序列号*3-98232计算得出。 这只是一个简单的计算示例。 这样解锁码就会随着序列号的变化而变化。 解锁码不是唯一的，可以使用复杂的计算逻辑。

3）解锁码与序列号键值对的关系

对于某些勒索病毒，解锁码和序列号是随机生成的，并使用键值对保留序列号和解锁码的对应关系。 该方法中，序列号与解锁码之间不存在计算关系。 解锁码会经过各种加密变换，解锁码与序列号的对应关系会通过邮件或者其他方式发回。

3. 常见解锁方法

1）直接输入解锁码解锁

用户向勒索者支付费用，以换取其设备的解锁代码。 直接在勒索软件页面输入解锁码即可解锁屏幕。 这是解锁勒索软件的最常见方法之一。

2）使用短信控制开锁

短信控制开锁方式是通过接收指定的短信号码或短信内容来远程开锁。 这种解锁方式会暴露勒索者使用的手机号码。

3）使用网络控制解锁

为了隐藏自己的信息，勒索者会使用洋葱网络等匿名通信技术来远程控制解锁。 该技术最初是为了保护消息发送者和接收者之间的通信隐私而开发的，但已被大量恶意软件滥用。

4）使用解锁工具解锁

为了方便勒索，勒索者甚至为勒索软件制作了解锁控制终端。

0x04 平台勒索黑色产业链

本章重点从平台勒索软件的产生、传播、收益等角度，以及勒索者和被勒索者的特征，揭露中国的黑色产业链。

1. 生产

(一)生产工具

国内大量的锁屏软件都使用合法的开发工具AIDE。 AIDE是环境中的开发工具。 该开发工具不需要使用电脑，只需要在手机上操作即可完成示例代码编写、编译、打包和签名整个开发过程。 利用开发工具AIDE，造马者只需修改源代码中代表QQ号码的字符串，就可以制造出新的勒索病毒。

由于该工具操作简单方便、开发门槛低、变化快，成为造马者开发勒索软件的首选。

（二）交流小组

通过我们的调查，我们发现大多数马主都使用QQ群进行交流。 在QQ群搜索中输入“锁机”等关键词后，可以找到很多相关的交流群。

图为某群主向群成员展示手机中保存的锁源代码。

（三）教材

制作时不仅有可以阅读的文字资料，而且有的群里还提供了视频教程，可以说是“图文并茂”

锁机教程在线视频

锁软件使用教程

（四）招收弟子、传授弟子

在群里，群主还会通过“收徒”的方式，教其他人如何制作勒索软件。 在扩大影响力的同时，他们还可以通过这种方式获取利润。

2. 传播

通过调查研究，我们总结出了国内勒索病毒的传播图。

勒索者通过QQ群、受害者、贴吧、网盘等方式传播勒索病毒。

（一）QQ群

造马者不断加入各种QQ群，在群共享中上传勒索病毒，并以“外挂”、“破解”、“钻探”等各种名义诱骗群成员下载，以达到勒索病毒的目的。传播的目的。

(2)利用受害者

当受害者被感染后，勒索者会要求受害者将勒索病毒传播到更多QQ群，以换取解锁勒索病毒。

(3)贴吧

马制造者在论坛中作为链接传播。

(4)网盘

主谋将勒索病毒上传到网盘，然后到处共享网盘链接，达到传播的目的。

3. 收入

通过调查研究，我们总结出了国内勒索软件产业链的资金流向图。

制马者主要通过开锁费、团体会员费、学徒费等方式获取非法收入，日收入在100元至300元不等。

（一）收入来源

解锁费

团体报名费

收取学徒费

(2) 日均收入

造马者通过运行勒索软件每天的利润在100至300元之间。

（三）产业链收入

2015年，超过11.5万部国内用户手机被感染，2016年第一季度，近3万部国内用户手机被感染。 每个勒索病毒的解锁费用通常为20元、30元或50元不等。 按每个勒索软件30元的解锁费计算，2015年国内平台勒索恶意软件产业链年收入达到345万元，位居第一，2016年季度接近90万。 国内平台勒索恶意软件历史上累计感染了34万部手机，整个产业链收入超过1000万元，这还不包括团费和学徒费的收入。

4. 制马者的特点

（一）制马者年龄分布

从几个通讯群中提取的人员信息可以看出，制马人的年龄分布日趋年轻化，集中在90后、00后。

（二）制马人员结构

绝大多数养马者既是生产者又是传播者。 一方面，他们自己制作勒索软件，并以各种方式进行传播； 另一方面，他们通过招收学徒的方式，像传销一样不断向线下发展，使得制作者和传播者的数量不断增加，勒索软件的传播范围更加广泛。

这伙人之所以肆无忌惮地制作、传播勒索软件进行敲诈勒索，并大胆留下QQ、微信、支付宝账号等个人联系方式，主要是因为他们年轻，法律意识淡薄。 他们认为，涉案金额较小，不存在违法行为。 他们甚至将其作为赚钱的手段，作为向别人炫耀的资本。

5. 被勒索者的特征

据一些被勒索的用户反馈，国产勒索软件感染的目标群体主要是经常上贴吧的人，以及希望获得各种“利器”和“外挂”的游戏QQ群成员。 这些人绝大多数是90后或00后用户。 他们抱有一种侥幸心理，不花钱就使用破解软件或插件，或者为了满足相互攀比的虚荣心，很容易被一些拿着“利器”、“神器”的人所迷惑，被一些“利器”、“神器”所吸引。冠以“刷钻石”、“刷点赞”、“插件”等名称的软件，从而落入陷阱。

0x05 平台勒索病毒防范一、勒索病毒识别方法

1）软件大小

安装软件时注意观察软件包的大小。 此类勒索软件体积并不算太大，通常不超过1M。

2）软件名称

大多数勒索软件都会伪装成工件、插件和各种软件，以提高钻石、点赞和受欢迎程度。

3）软件权限

大多数勒索软件都会申请“”权限或诱导设备管理器激活，因此安装和使用时需要注意。

2、提高人身安全意识

1) 可信的软件源

建议用户在选择应用下载渠道时尽量选择大型、可信的网站，如360手机助手、各类软件官网等。

2）安装安全软件

建议用户在手机上安装安全软件，并对手机上安装的软件进行实时监控，如360手机卫士等。

3）数据备份

建议用户定期备份手机上的重要数据，如联系人、照片、视频等，避免手机被感染给用户带来巨大损失。

4）拒绝诱惑

建议用户不要心存侥幸，不要受所谓“外挂”、“钻探”、“破解”软件的诱惑。 这些软件大多是假的，没有任何功能，只是为了吸引用户。

5）正确的解决方案

一旦用户不幸被骗，建议用户不要向勒索者支付任何费用，以免增加勒索者的气焰。 用户可以向专业安全人员或厂家寻求解决方案。

0x06 平台勒索病毒清除方案 1.重启手机

手机重启后快速卸载并删除勒索病毒是一种简单便捷的清除方法，但这种方法取决于手机的运行环境和勒索病毒的实施方式，只能对少数勒索病毒起作用。

2. 360移动急救包

360手机急救箱拥有“安装拦截”、“超级防护”、“摇一摇杀毒”三大独特功能，可有效检测并查杀勒索病毒。

安装拦截功能，防止勒索软件进入用户手机；

超强保护功能，可以清除勒索软件未经用户许可设置的锁屏PIN码，还可以自动卸载木马；

当用户被勒索软件感染而无法操作手机时，摇一杀可以直接查杀木马，有效保护用户的安全。

3.安全模式

安全模式也是一种有效的清洁解决方案。 不同机型进入安全模式的方法可能不同。 建议用户查找对应机型进入安全模式的具体操作方法。

我们以Nexus 5为例，介绍如何进入安全模式清除勒索病毒，供用户参考。 请按如下方式进行：

4.亚行命令

对于有一定技术基础的用户来说，如果手机有Root权限并且开启了USB调试（设置->开发者选项->USB调试），就可以将手机连接电脑，使用ADB命令清除勒索病毒。

对于设置PIN码的勒索软件，需要在命令行执行以下命令：

#!bash
> adb shell
> su
> rm /data/system/password.key
复制代码

对于其他类型的勒索病毒，还需要在命令行执行rm命令删除勒索病毒的安装路径。

5. 刷机

如果以上方法都不能解决问题，用户应参考手机厂商的刷机说明或前往手机售后服务，在专业人士的指导下进行刷机操作。

0x07 附录：参考资料