扫码领资料
获网安教程
来Track安全社区投稿~
千元稿费!还有保底奖励~(https://bbs.zkaq.cn)
在这篇文章中,我将分享关于安卓勒索软件的分析,并介绍我如何成功解锁被勒索软件感染的安卓手机。
屏幕锁定恶意软件 - Screenlocker Malware
img
这种特定的恶意软件会锁定你的手机,直到你通过联系指定号码向威胁行为者支付赎金为止。
Android Manifest.xml
img
该恶意软件请求的用户权限
img
从上面列出的请求权限中,我们可以观察到,此恶意软件除了充当勒索软件外,还可能被用作间谍软件,因为它具备访问联系人、短信、文件系统、安装其他应用程序、使用相机等权限。
MainActivity.java
这个文件通常是 APK 文件程序逻辑的入口点。它是恶意软件启动的主要位置,负责初始化应用程序并触发一系列恶意操作。通常,恶意软件会在此处请求关键权限并启动屏幕锁定功能。
img
从上面的截图中可以看到,恶意软件执行了一个名为 com.Xphantom.id.MyService 的服务。
img
img
这段Java代码片段定义了一个名为 MyService 的后台服务,该服务在Android应用中创建了一个浮动窗口(类似聊天头)。该浮动窗口使用 WindowManager 来显示。服务加载了一个包含 ImageView(用于显示图片)和 EditText(用于用户输入)的布局。布局中的按钮根据输入执行操作:如果文本与特定字符串 "Abdullah@" 匹配,服务会尝试重启自身;否则,它会清空输入字段。
此外,服务还包含一个显示Toast消息的方法,但 onBind 方法返回 null,这意味着它不支持与其他组件绑定。
从代码的功能来看,浮动窗口提供了一个交互式UI元素,主要用来检查用户输入的文本是否与预设的解锁字符串 "Abdullah@" 匹配。因此,Abdullah@ 是解锁设备的关键字符串。
img
看来这款恶意软件最初是由俄罗斯的威胁行为者创建的,但后来被巴基斯坦的威胁行为者重新编译,并用于针对印度的攻击。
img
Covid Locker Ransomware
Covid Locker Ransomware 是一种在 2020 年疫情期间传播的有趣勒索软件.
img
img
这张图片来自网络。
一旦 Covid Locker 勒索软件锁定了你的手机,它会声称攻击者已经获取了你的所有数据,并要求你支付 250 美元才能获得所谓的24位数字密钥,用于解密信息并解锁手机。
Android Manifest.xml
img
此恶意软件请求设备管理员权限。
img
从上述截图中,我们可以看到该恶意软件有权限在运行时获取权限,并且可以隐藏应用程序。
img
Blocked App Activity
img
img
这段Java代码定义了BlockedAppActivity,这是一个安全主题的Android应用程序中的活动。创建时,它设置了一个布局,其中包含一个用于输入秘密PIN的EditText以及两个可点击元素:一个用于验证PIN,另一个用于在浏览器中打开URL。PIN验证检查输入的PIN是否与硬编码字符串(“4865083501”)匹配。如果匹配,则在共享首选项中标记用户为授权,并显示成功消息;否则,显示失败消息。打开URL的逻辑首先检查可用的浏览器应用程序,并在找到的第一个浏览器中打开URL,或者如果未找到浏览器则显示吐司消息。该活动还包括在PIN输入后隐藏软键盘的方法。
从上述截图中,我们可以观察到4865083501是禁用此COVID锁定恶意软件的密钥,而该恶意软件使用共享首选项来隐藏自己。
正如攻击者所声称的,他实际上并没有进行任何加密,也无法通过该恶意软件窃取文件,基本上攻击者使用了一些UI技巧来欺骗用户支付赎金。
如何保护自己免受Android勒索软件的攻击?
声明:⽂中所涉及的技术、思路和⼯具仅供以安全为⽬的的学习交流使⽤,任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的,否则后果⾃⾏承担。
原文始发于微信公众号(白帽子左一):威胁分析 | 解锁被勒索软件感染的安卓设备
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论