【原创】中国Android机主请注意！谨防“伪随机密码”和“双锁屏”攻击！- 大数跨境

物联网安全号

2016-10-22

导读：以为只有IOS系统才会被攻击？错了！针对安卓系统的恶意锁屏软Android.Lockscreen又出现了新变种！安卓也不安全了？

点击上方“物联网安全号”可以订阅哦！

针对安卓系统的Android.Lockscreen恶意锁屏软件又出现了新变种！

这款恶意勒索软件的上一个版本是：使用硬编码密码锁定屏幕！

（编者按：硬编码密码锁屏的方式简单的理解就是改变原有变量值为固定值，此时标记名称改变后，变量值不变，程序运作时导致再次匹配无法实现！一般在计算机程序和文本编辑领域里是尽量避免硬编码方法的使用。）

然后，这种方式已经被安全专业人士破解，他们通过对代码进行反向工程，可以为受害者设备提供密码解锁！

那么现在这款恶意锁屏软件升级的攻击方式是：通过“伪随机密码”和“双锁屏”两种方式攻击受害者设备。已达到阻止受害者在不支付赎金的情况下解锁设备的目的。而且，赛门铁克安全团队发现这类勒索软件在传播前，甚至可以在被攻击的移动设备上进行创建行为！

经过该团队分析排查：

在中国出现的，威胁移动设备的恶意软件就是“Android.Lockscreen”，也就是我们今天介绍的主角！

伪随机密码

伪随机密码是指：当移动设备感染木马，这类恶意软件会自动创建一个自定义的“系统错误”窗口，并且强行覆盖在感染设备每一个可见的UI之上。

当你无论关机还是重启都毫无作用时，这个时候“前戏已经做足了”！

于是，恶意软件会在窗口中显示恐吓消息，告知受害者通过联系攻击者才能获得解锁密码。

具体情形请还未中木马的用户在下图感受一下！

图2

“伪随机密码”攻击方式淘汰了原来的硬编码密码锁屏方式，将其替换为伪随机编码，其中部分的变种木马会生成六位数或八位数编码。

大家可以用过下图自行感受一下：

比如，在图2中所展示的攻击事件中，解锁密码为137911。

生成方式为：139911–2000=137911。

由于使用“Math.Random()”函数计算得出的基数不同，因此每个感染设备所生成的编码也有所不同。

双锁屏

为了增强解锁难度，这类恶意软件还增加了“双锁屏”的攻击方式，与“伪随机密码”结合使用。

“双锁屏”指：除了使用“系统错误”窗口这类定制化锁屏外，攻击者还会利用设备管理员权限更改Android设备的正常锁屏PIN密码。

但值得留意的是，如果用户在设备感染之前设置了PIN密码，那么AndroidNougat将会阻止攻击者调用“resetPassword()”。

如何抵御？

1、及时更新并确保软件为最新版本。

2、避免从陌生网站下载移动应用，只信任安装来自可靠来源的移动应用程序。

3、密切注意应用所请求的权限。

4、在移动设备中安装一款合适的移动安全应用，以保护设备和数据安全。

5、定期备份设备中的重要数据。

公众号ID“wulianaq”

聚合物联网专业人士

分享物联网安全知识

关注我们

了解更多安全资讯

【声明】内容源于网络

物联网安全号

物联网安全号是国内首家专注报道物联网安全领域的新媒体，致力于打造该领域最具价值的情报站和智库，建设物联网安全爱好者们交流、分享技术的新型社群。

内容 447

粉丝 0

物联网安全号物联网安全号是国内首家专注报道物联网安全领域的新媒体，致力于打造该领域最具价值的情报站和智库，建设物联网安全爱好者们交流、分享技术的新型社群。

总阅读486

粉丝0

内容447