恶意软件同时利用设备管理器和addView方法达到锁屏效果,增大了受害用户解锁手机的难度。恶意软件运行后直接请求激活设备管理器,而无其他交互界面。当用户激活设备管理器之后恶意软件就会立刻强制给手机设置锁屏密码。同时用户的手机会显示如图1所示界面,界面中给出受害用户如何解锁的信息,在该页面中我们观察到一点与以往不同的内容——“扫码支付,自动解锁”。
图1 激活设备管理器和二维码勒索页面
按照界面上的指示信息(提示:微信扫描二维码:“扫码支付 自动解锁”)进行扫码,则出现如下的转账界面,显示“向个人用户‘十四年√(**攀)’”转账20.00元。
图2 扫码转账界面
首先,通过图2了解一下微信的转账过程。收款方生成用于收款的转账二维码,转账方通过“扫一扫”收款方提供的二维码获取转账信息并确认之后则进行转账,转账成功之后跳转至“转账成功”页面,收款方则显示“已收账”。
图3 扫二维码转账流程示意图
在整个转账过程中转账双方的信息交互仅为微信用户的昵称与转账账目相关信息,微信用户的昵称可以随意改变且不唯一,转账过程中不涉及双方微信账号的信息。那么恶意软件所示的“自动解锁”该如何做到呢?
通过进一步分析发现该恶意软件代码结构极其简单,并且代码中没有与微信转账之间存在任何的关联。所以,所谓的“扫描支付,自动解锁”是彻头彻尾的一个骗局,即受害用户完成转账并不能自动解锁。
此外,在恶意软件的资源文件中发现多个二维码信息,如图4所示。制马人只需要简单更改二维码信息就可以对手机勒索软件进行变身;当其他制马人拿到诸如此类的恶意软件时,仅需简单更改就可生成新的手机勒索软件。如法炮制,制马人就可用极低的成本就可达到在保护自身信息的同时又增加了获利几率,此种形式的手机勒索软件行为可谓恶劣至极。
图4 资源文件中的多个二维码信息
该手机勒索软件在感染设备之后弹出一个无法取消的全屏置顶悬浮窗界面。手机勒索软件较为常用的锁屏方式有两种:一是利用设备管理器直接修改设备的锁屏密码,二是通过addView方法同时利用LayoutParams的flags属性添加无法取消的全屏置顶悬浮窗。而该恶意软件仅利用了LayoutParams的flags属性设置来达到锁屏效果。锁屏之后制马人在界面上给出了解锁的方法:受害用户通过联系与留在锁屏界面上的QQ号,并支付一定的费用来解锁自己的手机。该恶意软件制作较为粗糙,比如锁屏界面中提及的“点击二维码”,但界面上却没有明显的可点击内容,在不断试点的过程中才得以发现,如图5所示。
图5 锁屏界面
该手机勒索软件不再使用手动键入密码来解锁,转而使用语音输入并识别从而进行解锁,这也是首个使用STT(Speech to Text)技术的恶意样本。该恶意软件利用百度在线语音识别SDK完成语音识别功能,具体解锁过程如图6所示:
(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/shouji/)图6 语音解锁过程
恶意软件的解锁密码是以固定方式加密后保存在Assets目录下的文件中,用户输入的语音经过语音识别SDK转化后与其进行匹配,匹配成功则移除锁屏界面,继而解锁成功,如图7所示。
图7 解锁界面信息
1)可信软件源
建议用户在选择应用下载途径时,应该尽量选择大型可信站点,如360手机助手、各软件官网等。
2)安装安全软件
建议用户手机中安装安全软件,实时监控手机安装的软件,如360手机卫士。
3)数据备份
建议用户日常定期备份手机中的重要数据,比如通讯录、照片、视频等,避免手机一旦中招,给用户带来的巨大损失。
(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/shouji/)4)拒绝诱惑
建议用户不要心存侥幸,被那些所谓的能够“外挂”、“刷钻”、“破解”软件诱惑,这类软件绝大部分都是假的,没有任何功能,只是为了吸引用户中招。
5)正确的解决途径
一旦用户不幸中招,建议用户不要支付给敲诈者任何费用,避免助涨敲诈者的嚣张气焰。用户可以向专业的安全人员或者厂商寻求解决方法。
图8
相关阅读:安卓手机病毒都有哪些如何查杀