• 关于警惕“红包快抢”勒索APP的预警通报
    发布时间:2017/6/16 11:44:18        次浏览

    互联网网络安全信息通报

    2017年第286期(总第922期)

    国家计算机网络应急技术处理协调中心广东分中心  2017615

    关于警惕“红包快抢”勒索APP的预警通报

    近日,国家互联网应急中心(以下简称“CNCERT”)通过自主监测和样本交换形式共发现7款名为“红包快抢”的锁屏勒索恶意程序变种,该程序变种运行后都具有系统破坏及流氓行为。

    该程序诱骗用户激活设备管理器,防止自身被卸载;强制将自身界面置于设备屏幕上方,致使用户无法正常使用设备;在诱使用户输入正确的解锁密码后,强制关闭用户设备屏幕、修改用户设备的锁屏密码;用户再次打开屏幕即需要输入攻击者设置的锁屏密码,迫使用户向指定账户支付费用求助开锁;重启设备无法解决勒索问题。

    我局广东互联网应急中心特此提醒广大互联网用户予以关注,加强手机安全防护意识,避免因感染该恶意程序导致个人遭受经济损失。

    联系方式:https://www.anva.org.cn/

                    gd@cert.org.cn

    近日,国家互联网应急中心(以下简称“CNCERT”)通过自主监测和样本交换形式共发现7款名为“红包快抢”的锁屏勒索恶意程序变种,该程序变种运行后都具有系统破坏及流氓行为,具体情况如下:

    该程序诱骗用户激活设备管理器,防止自身被卸载;强制将自身界面置于设备屏幕上方,致使用户无法正常使用设备;私自关闭用户设备屏幕、修改用户设备的锁屏密码;当用户成功解锁后,重启手机便会重新执行程序锁屏,迫使用户向指定账户支付费用“求助”开锁。

    此病毒程序安装后的图标如下,名称为“红包快抢”:

      病毒行为分析

    1.程序启动后诱骗用户激活设备管理器,保护自身免被卸载。

    1 激活设备管理器的代码证据

    2 激活设备管理器界面

     

    2.初始化后启动恶意服务,强制将自身界面置于屏幕上方,导致用户无法正常使用设备。

    3 构造全屏置顶且无法手动取消的悬浮窗

     

    4 密码比对正确,解锁置顶窗口

     

    5 正确密码保存在本地资源文件中

     

    3.当用户输入正确“解锁”密码后,程序私自修改用户设备锁屏密码、关闭用户设备屏幕,用户再次打开屏幕即需要输入攻击者设置的锁屏密码。

    6 重置用户设备锁屏密码

    7 重置的PIN

     

    4.设置开机即启动该恶意服务,用户重新开机再次被锁屏。

    8 启动恶意服务,再次锁屏

     

    5.程序预留QQ号码,提示用户“求助”解锁。

    9 预留的QQ号信息