一款针对安卓设备的勒索软件家族利用一个老旧的UI功能劫持用户点击并将设备root,这样获取完全权限对用户文件进行加密并且锁屏。
这个新的勒索软件是赛门铁克公司发现的,他们将其命名为Android.Lockdroid.E,当前它通过一款成人主题的app传播。这款app尽可从第三方应用商店中获取,而且应该不会影响那些仅适用谷歌应用商店来安装应用程序的用户。
Lockdroid通过点击劫持root设备
这款勒索软件最有趣的地方在于如何利用老旧的安卓功能来安装。任何安卓应用程序在安装过程中都需要经过机主手动审批。而Lockdroid跟其它勒索软件家族的做法一样,都是利用不实描述以及虚假信息来蒙混过关。如果用户不够细心,那可能会忽略这一步,导致该勒索软件利用点击劫持方式并接收到弹出信息要求获得管理权限。而实际上第二个弹出信息是一个出错信息(TYPE_SYSTEM_ERROR),这是老旧的安卓版本请求获得权限的弹出信息。这个弹出信息很狡猾地告诉用户应用程序正在安装可能还需要等待一段时间。最后,第二个弹出信息就会显示安装成功的字样,并且激活继续按钮。
这个按钮实际上跟下面的“激活”按钮时重叠的。如果点击“继续”就会同时按下“激活”,导致勒索软件在设备上肆意横行。
Lockdroid利用浏览记录勒索用户
一旦获得root权限,Lockdroid就会将用户文件加密并且收集手机通讯录。当完成所有的这一切时,勒索软件就会通过管理权限向用户屏幕推送一条永久性信息,要求用户支付赎金恢复加密文件。
为了看起来更为真实,这款恶意软件还会威胁用户支付赎金,不然就会把浏览记录分享给朋友。
不过从安卓5.0版本开始,显示第二条弹出信息的功能已被取消,也就是说运行最新安卓版本的用户是安全的,勒索软件无法使用点击劫持技巧来勒索用户。不幸的是,有三分之二的安卓用户依然在使用老旧版本的安卓设备,因此对点击劫持技巧毫无察觉。