由以銀行App為目標的病毒變種而來
根據由ESET內部資安專家所主持的Welivesecurity部落格報導,ESET的惡意程式研究員Lukáš Štefanko發現了Android/DoubleLocker.A勒索病毒(以下簡稱DoubleLocker),它是以某些專門攻擊網路銀行App的木馬程式為基礎,透過濫用Android作業系統的協助工具(Accessibility)功能,取得相關權限入侵並控制裝置。
在過去,這類透過協助工具入侵裝置的病毒,大多是以側錄鍵盤(Keylogger)為目的,在受害者操作網路銀行App的過程中,竊取帳號與密碼,以便進行後續的盜領動作,然而DoubleLocker卻是第1款以協助工具作為入侵漏洞的勒索病毒。
DoubleLocker散播的途徑與網路銀行App病毒相當類似,它往往偽裝成Adobe Flash Player的App,當該App啟動之後,DoubleLocker就會要求名為「Google Play Service」的協助工具的執行權限。
一旦DoubleLocker取得協助工具權限之後,它就會進一步取得裝置的管理員權限,並將自己設為系統主選單的預設程式,這些動作當然都沒有經過受害者的同意。
按下Home鍵系統就鎖死
當DoubleLocker把自己設為預設主選單之後,無論受害者在任何狀態按下Home鍵,病毒就會被啟動,然後將裝置鎖定,而受害者也不會查覺這個動作竟然是啟動病毒的關鍵。
DoubleLocker開始運作之後,首先會先篡改裝置的PIN碼,讓受害者無法再操作裝置,然而麻煩的是,新的PIN碼是以亂數決定,並且不會儲存或回傳給攻擊者,所以不容易將它解除。
此外DoubleLocker還會將裝置主要儲存路徑中的檔案透過AES演算法加密,並將檔案副檔名改成「.cryeye」,若受害者無法得知加密金鑰,那麼也無法解除檔案鎖定。病毒會要求受害者必需在24小時內支付0.013比特幣(約等於新台幣2,200元),但是若未在時限內支付,檔案也不會被刪除,只是會維持鎖定狀態。
Štefanko表示,當裝置感染DoubleLocker之後,一般情況下只能透過重置裝置(回復到出廠預設狀態)的方式清除病毒。但是如果受害裝置已經Root,且DoubleLocker還沒被啟動(還沒按下Home鍵)的話,則可透過ADB進入裝置並移除PIN碼,接著在安全模式中移除病毒的管理員權限,接著將病毒清除即可。不過如果裝置中的檔案已經被加密鎖定的話,情況就與其他勒索病毒一樣,必需繳納贖金才能將檔案解鎖。
為了要避免智慧型手機或平板電腦不受威脅,還是那句老話,不要安裝來路不明的程式,而且時常備份裝置中的檔案才是上策。
加入電腦王Facebook粉絲團