在2018年度,新增恶意软件434.2万个,平均每天新增约1.2万个。整体呈现“前高后低“的态势,且较2017年的勒索软件数量有明显的增长。从移动威胁趋势上看,5G时代的到来将更加冲击移动端的安全环境,届时如何减少攻击面以及提升手机内部安全将成为研究的热点。
一旦用户给了权限,想要取消激活就只能在设置->安全->设备管理应用程序 中手动取消激活,但此时已经为时已晚,勒索软件便可以通过resetPassword方法重置掉用户的锁屏密码。
附加说明:
Android N(7.x)中,DevicePolicyManager.resetPassword方法只能为没有密码的机器设置初始密码,但不能重置或者清除已有的密码了,因此旧版本的恶意应用在有密码的机器上是没办法设置密码的。
当App targetsdkversion为Android O(8.x)及以上,该API会直接抛出SecurityException异常,因此恶意应用会选择较低的targetsdk版本进行规避。
加密文件类勒索软件:
该病毒类似于永恒之蓝事件所爆发时的wannacry勒索软件,通过比特币的形式勒索用户缴纳赎金并规避现金交易的风险,首先该软件会要求用户开启辅助点击服务,一旦用户给予了权限,立即跳转到激活设备管理器页面并模拟点击激活设备管理器,以上操作仅仅为了增强自身的存活性,之后便加密文件,跳出勒索界面要求用户缴纳赎金。
03
Android勒索软件样本分析
首先在 上下载了一个公开的勒索软件样本,丢到模拟器里安装一下,就会看到以下情景。
看来是被勒索了,证明这个勒索病毒正常运行了,那么接下来我们对这个APK进行一下逆向,先使用apktool对样本apk进行一下反编译。
接下来查看Manifest.xml文件,可以看到允许应用获取了很多敏感权限,如:向SD卡上写文件、允许应用程序修改全局音频设置、允许应用程序获取手机全局状态、允许访问振动设备、允许程序打开窗口使用等。
接下来进入主程序可以看到写了多种方式,有DES、MD5等等依次调用,可能被加密了不止一次。
以上就是勒索软件的工作原理了,有的勒索软件简单粗暴,也没有经过什么加壳就直接散发出去,主要针对的是那些安全意识淡薄的群体。还有的勒索软件藏在正常的APK当中或者经过加壳处理,一般情况下用户在使用的时候看不出来这是个问题软件,直到触发了勒索软件的加密函数才会加密本机文件,这种勒索软件中招的往往是有一定安全意识的群体,一开始会小心谨慎在放松警惕后勒索软件才开始攻击。
04
Android勒索软件的传播方式
目前 交 络成为了勒索软件的主要传播渠道,其中QQ与QQ群成为了大多数攻击者与受害者联系的唯一方式。
在进到一些锁机QQ群后发现,群里有人将一些锁机源码、测试视频、视频教程、软件源码及制作工具等等上传到群文件中,共享给其他人。除此之外还存在着“一键生成木马“工具,这种一键生成器操作简单,不需要具备编程知识也能够自定义生成多种类型的手机恶意软件。由于使用门槛低,造成了勒索软件从数量、类型上的不断增长与变化。
因此切记不要随意安装非正规应用商店中的软件,也不要轻易的转账或提交个人信息,同时要留意应用所需的权限,不要随意给予与应用功能无关的权限。
05
Android勒索软件防御方法
1、提升个人安全意识,拒绝一切不明渠道的软件安装包,只从正规商店下载正版软件。
2、不乱点不明链接或扫描不知做什么的二维码,尽可能阻止恶意软件进入手机。
3、仔细查看软件安装时索取的权限信息,因为勒索软件的运行前提是要获得手机访问文件的权限,所以对于索取此权限的APP要格外注意。
4、定期检查手机,扫描是否有潜在木马或恶意程序。
相关资源:revisionist:保守版本R软件包安装-其它代码类资源-CSDN文库
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!