• 關于警惕“紅包快搶”勒索APP的預警通報
    发布时间:2017/6/16 11:44:18        次浏覽

    互联网網絡安全信息通报

    2017年第286期(總第922期)

    國家計算機網絡應急技術處理協調中心廣東分中心  2017615

    關于警惕“紅包快搶”勒索APP的預警通報

    近日,國家互聯網應急中心(以下簡稱“CNCERT”)通過自主監測和樣本交換形式共發現7款名爲“紅包快搶”的鎖屏勒索惡意程序變種,該程序變種運行後都具有系統破壞及流氓行爲。

    該程序誘騙用戶激活設備管理器,防止自身被卸載;強制將自身界面置于設備屏幕上方,致使用戶無法正常使用設備;在誘使用戶輸入正確的解鎖密碼後,強制關閉用戶設備屏幕、修改用戶設備的鎖屏密碼;用戶再次打開屏幕即需要輸入攻擊者設置的鎖屏密碼,迫使用戶向指定賬戶支付費用求助開鎖;重啓設備無法解決勒索問題。

    我局廣東互聯網應急中心特此提醒廣大互聯網用戶予以關注,加強手機安全防護意識,避免因感染該惡意程序導致個人遭受經濟損失。

    聯系方式:https://www.anva.org.cn/

                    gd@cert.org.cn

    近日,國家互聯網應急中心(以下簡稱“CNCERT”)通過自主監測和樣本交換形式共發現7款名爲“紅包快搶”的鎖屏勒索惡意程序變種,該程序變種運行後都具有系統破壞及流氓行爲,具體情況如下:

    該程序誘騙用戶激活設備管理器,防止自身被卸載;強制將自身界面置于設備屏幕上方,致使用戶無法正常使用設備;私自關閉用戶設備屏幕、修改用戶設備的鎖屏密碼;當用戶成功解鎖後,重啓手機便會重新執行程序鎖屏,迫使用戶向指定賬戶支付費用“求助”開鎖。

    此病毒程序安裝後的圖標如下,名稱爲“紅包快搶”:

    ?  病毒行爲分析

    1.程序啓動後誘騙用戶激活設備管理器,保護自身免被卸載。

    1 激活設備管理器的代碼證據

    2 激活設備管理器界面

     

    2.初始化後啓動惡意服務,強制將自身界面置于屏幕上方,導致用戶無法正常使用設備。

    3 構造全屏置頂且無法手動取消的懸浮窗

     

    4 密碼比對正確,解鎖置頂窗口

     

    5 正確密碼保存在本地資源文件中

     

    3.當用戶輸入正確“解鎖”密碼後,程序私自修改用戶設備鎖屏密碼、關閉用戶設備屏幕,用戶再次打開屏幕即需要輸入攻擊者設置的鎖屏密碼。

    6 重置用戶設備鎖屏密碼

    7 重置的PIN

     

    4.設置開機即啓動該惡意服務,用戶重新開機再次被鎖屏。

    8 啓動惡意服務,再次鎖屏

     

    5.程序預留QQ号碼,提示用户“求助”解锁。

    9 預留的QQ號信息

 
友情链接:欢乐生肖app  华夏彩票官网  辉煌彩票官网  百姓彩票网站  金凤凰彩票  乐盈彩票网站  爱乐透彩票  全天pk10计划软件  上海福彩网  辉煌彩票网