原文地址:http://drops.wooyun.org/tips/14782

Author：360移動安全團隊

0x00 摘要

• 手機勒索軟件是一種通過鎖住用戶移動設備，使用戶無法正常使用設備，并以此脅迫用戶支付解鎖費用的惡意軟件。其表現為手機觸摸區域不響應觸摸事件，頻繁地強制置頂頁面無法切換程序和設置手機PIN碼。
• 手機勒索軟件的危害除了勒索用戶錢財，還會破壞用戶數據和手機系統。
• 手機勒索軟件最早從仿冒殺毒軟件發展演變而來，2014年5月Android平臺首個真正意義上的勒索樣本被發現。

• 截至2016年第一季度，勒索類惡意軟件歷史累計感染手機接近90萬部，從新增感染手機數據看，2015年第三季度新增感染手機接近35萬部。
• 截至2016年第一季度，共捕獲手機勒索類惡意樣本7.6萬余個。其中國外增長迅速，在2015年第三季度爆發式增長，季度捕獲量接近2.5萬個；國內則穩步上升。
• 國外最常偽裝成色情視頻、Adobe Flash Player和系統軟件更新；國內則最常偽裝成神器、外掛及各種刷鉆、刷贊、刷人氣的軟件。
• 從手機勒索軟件的技術原理看，鎖屏主要利用構造特殊的懸浮窗、Activity劫持、屏蔽虛擬按鍵、設置手機PIN碼和修改系統文件。解鎖碼生成方式主要是通過硬編碼、序列號計算、序列號對應。解鎖方法除了直接填寫解鎖碼，還能夠通過短信、聯網和解鎖工具遠程控制解鎖。
• 制作方面，主要使用合法的開發工具AIDE，通過QQ交流群、教學資料、收徒傳授的方式進行指導。
• 傳播方面，主要通過QQ群、受害者、貼吧、網盤等方式傳播。
• 制馬人通過解鎖費、進群費、收徒費等方式獲取非法所得，日收益在100到300元不等，整個產業鏈收益可達千萬元。
• 從制馬人人群特點看，年齡分布呈現年輕化，集中在90后和00后。一方面自己制作勒索軟件；另一方面又通過收徒的方式像傳銷一樣不斷發展下線。
• 從被敲詐者人人群特點看，主要是一些經常光顧貼吧，以及希望得到各種“利器”、“外掛”的游戲QQ群成員。
• 從預防的角度，可以通過軟件大小、名稱、權限等方式進行甄別，同時需要提高個人安全意識，養成良好的使用手機習慣。
• 在清除方法上，可以通過重啟、360手機急救箱、安全模式、ADB命令、刷機等多種方案解決。

0x01 Android平臺勒索軟件介紹

一、勒索軟件定義

手機勒索軟件是一種通過鎖住用戶移動設備，使用戶無法正常使用設備，并以此脅迫用戶支付解鎖費用的惡意軟件^【1】。

二、勒索軟件表現形式

1)主要通過將手機觸摸屏部分或虛擬按鍵的觸摸反饋設置為無效，使觸摸區域不響應觸摸事件。

2)頻繁地強制置頂頁面，造成手機無法正常切換應用程序。

3)設置手機鎖定PIN碼，無法解鎖進入手機系統。

三、勒索軟件的危害

1)敲詐勒索用戶錢財

2)加密手機文件，破壞用戶數據

3)清除手機應用，破壞手機系統

四、勒索軟件歷史演變

• 2013年06月Android.Fakedefender^【2】，仿冒殺毒軟件恐嚇用戶手機存在惡意軟件要求付費并且頂置付費提示框導致無法清除。
• 2014年05月Android.Koler^【3】，Android平臺首個真正意義上的勒索樣本。
• 2014年06月Android.Simplocker^【4】，首個文件加密并且利用洋蔥網絡的勒索樣本。
• 2014年06月Android.TkLocker^【5】，360發現首個國內惡作劇鎖屏樣本。
• 2014年07月Android.Cokri^【6】，破壞手機通訊錄信息及來電功能的勒索樣本。
• 2014年09月Android.Elite^【7】，清除手機數據并且群發短信的鎖屏樣本。
• 2015年05月Android.DevLocker^【8】，360發現國內出現首個設置PIN碼的勒索樣本。
• 2015年09月Android.Lockerpin^【9】，國外出現首個設置PIN碼的勒索樣本。

0x02 Android平臺勒索軟件現狀

一、勒索類惡意樣本感染量

截至2016年第一季度，勒索類惡意軟件歷史累計感染手機接近90萬部，通過對比2015到2016年季度感染變化趨勢，可以看出2015年第三季度新增感染手機接近35萬部。

二、勒索類惡意樣本數量

截至2016年第一季度，共捕獲勒索類惡意樣本7.6萬余個，通過對比2015到2016年季度變化情況，可以看出國外勒索類惡意軟件增長迅速，并且在2015年第三季度爆發式增長，季度捕獲量接近2.5萬個；反觀國內勒索類惡意軟件增長趨勢，雖然沒有爆發式增長，但是卻呈現出穩步上升的趨勢。

三、常見偽裝對象

對比國內外勒索類惡意軟件最常偽裝的軟件名稱可以看出，國外勒索類惡意軟件最常偽裝成色情視頻、Adobe Flash Player和系統軟件更新這類軟件。而國內勒索類惡意軟件最常偽裝成神器、外掛及各種刷鉆、刷贊、刷人氣的軟件，這類軟件往往利用了人與人之間互相攀比的虛榮心和僥幸心理。

四、用戶損失估算

2015年全年國內超過11.5萬部用戶手機被感染，2016年第一季度國內接近3萬部用戶手機被感染。每個勒索軟件的解鎖費用通常為20、30、50元不等，按照每位用戶向敲詐者支付30元解鎖費用計算，2015年國內用戶因此遭受的損失達到345萬元，2016年第一季度國內用戶因此遭受的損失接近90萬。

0x03 Android平臺勒索軟件技術原理

一、鎖屏技術原理

1)利用WindowManager.LayoutParams的flags屬性

通過addView方法實現一個懸浮窗，設置WindowManager.LayoutParams的flags屬性，例如，“FLAG_FULLSCREEN”、“FLAG_LAYOUT_IN_SCREEN”配合“SYSTEM_ALERT_WINDOW”的權限，使這個懸浮窗全屏置頂且無法清除，造成手機屏幕鎖屏無法正常使用。

2)利用Activity劫持

通過TimerTask定時監控頂層Activity，如果檢測到不是自身程序，便會重新啟動并且設置addFlags值為“FLAG_ACTIVITY_NEW_TASK”覆蓋原來程序的Activity，從而利用Activity劫持手段，達到勒索軟件頁面置頂的效果，同時結束掉原來后臺進程。目前Android5.0以上的版本已經采取了保護機制來阻止這種攻擊方式，但是5.0以下的系統仍然占據絕大部分。

3)屏蔽虛擬按鍵

通過改寫onKeyDown方法，屏蔽返回鍵、音量鍵、菜單鍵等虛擬按鍵，造成不響應按鍵動作的效果，來達到鎖屏的目的。

4)利用設備管理器設置解鎖PIN碼

通過誘導用戶激活設備管理器，勒索軟件會在用戶未知情的情況下強制給手機設置一個解鎖PIN碼，導致用戶無法解鎖手機。

5)利用Root權限篡改系統文件

如果手機之前設置了解鎖PIN碼，勒索軟件通過誘導用戶授予Root權限，篡改/data/system/password.key文件，在用戶不知情的情況下設置新的解鎖PIN碼替換舊的解鎖PIN碼，達到鎖屏目的。

二、解鎖碼生成方式

1)解鎖碼硬編碼在代碼里

有些勒索軟件將解鎖碼硬編碼在代碼里，這類勒索軟件解鎖碼唯一，且沒有復雜的加密或計算邏輯，很容易找到解鎖碼，比較簡單。

2)解鎖碼通過序列號計算

與硬編碼的方式相比，大部分勒索軟件在頁面上都顯示了序列號，它是惡意軟件作者用來標識被鎖住的移動設備編號。一部分勒索軟件解鎖碼是通過序列號計算得出，例如下圖中的fkey代表序列號，是一個隨機生成的數；key代表解鎖碼，解鎖碼是序列號*3-98232計算得出。這僅是一個簡單的計算例子，這種方式解鎖碼隨序列號變化而變化，解鎖碼不唯一并且可以使用復雜的計算邏輯。

3)解鎖碼與序列號鍵值對關系

還有一部分勒索軟件，解鎖碼與序列號都是隨機生成，使用鍵值對的方式保留了序列號和解鎖碼的對應關系。這種方式序列號與解鎖碼沒有計算關系，解鎖碼會經過各種加密變換，通過郵件等方式回傳解鎖碼與序列號的對應關系。

三、常見解鎖方法

1)直接輸入解鎖碼解鎖

用戶通過付給敲詐者錢來換取設備的解鎖碼。將解鎖碼直接輸入在勒索頁面里來解鎖屏幕，這是最常見的勒索軟件的解鎖方式之一。

2)利用短信控制解鎖

短信控制解鎖方式，就是通過接收指定的短信號碼或短信內容遠程解鎖，這種解鎖方式會暴露敲詐者使用的手機號碼。

3)利用聯網控制解鎖

敲詐者為了隱藏自身信息，會使用如洋蔥網絡等匿名通信技術遠程控制解鎖。這種技術最初是為了保護消息發送者和接受者的通信隱私，但是被大量的惡意軟件濫用。

4)利用解鎖工具解鎖

敲詐者為了方便進行勒索，甚至制作了勒索軟件配套的解鎖控制端。

0x04 Android平臺勒索軟件黑色產業鏈

本章主要從Android平臺勒索軟件的制作、傳播、收益角度及制馬人和被敲詐的人群特點，重點揭露其在國內的黑色產業鏈。

一、制作

（一）制作工具

國內大量的鎖屏軟件都使用合法的開發工具AIDE，AIDE是Android環境下的開發工具，這種開發工具不需要借助電腦，只需要在手機上操作，便可以完成Android樣本的代碼編寫、編譯、打包及簽名全套開發流程。制馬人使用開發工具AIDE只需要對源碼中代表QQ號碼的字符串進行修改，便可以制作成一個新的勒索軟件。

因為這種工具操作簡單方便，開發門檻低，變化速度快，使得其成為制馬人開發勒索軟件的首選。

（二）交流群

通過我們的調查發現，制馬人大多使用QQ群進行溝通交流，在QQ群查找里輸入“Android鎖機”等關鍵字后，就能夠找到很多相關的交流群。

圖是某群的群主在向群成員炫耀自己手機中保存的鎖機源碼

（三）教學資料

制作時不僅有文字資料可以閱讀，同時在某些群里還提供了視頻教程，可謂是“圖文并茂”

鎖機教程在線視頻

鎖機軟件教程

（四）收徒傳授

在群里，群主還會以“收徒”的方式教授其他人制作勒索軟件，在擴大自己影響力的同時，也能夠通過這種方式獲取利益。

二、傳播

通過我們的調查研究，總結出了國內勒索軟件傳播示意圖

制馬人通過QQ群、受害者、貼吧、網盤等方式，來傳播勒索軟件。

（一）QQ群

制馬人通過不斷加入各種QQ群，在群共享中上傳勒索軟件，以“外掛”、“破解”、“刷鉆”等各種名義誘騙群成員下載，以達到傳播的目的。

（二）借助受害者

當有受害者中招時，制馬人會要求受害者將勒索軟件傳播到更多的QQ群中，以作為換取解鎖的條件。

（三）貼吧

制馬人在貼吧中以鏈接的方式傳播。

（四）網盤

制馬人將勒索軟件上傳到網盤中，再將網盤鏈接分享到各處，以達到傳播的目的。

三、收益

通過我們的調查研究，總結出了國內勒索軟件產業鏈的資金流向示意圖

制馬人主要通過解鎖費、進群費、收徒費等方式獲取非法所得，日收益在100到300元不等。

（一）收益來源

解鎖費

進群費

收徒費

（二）日均收益

制馬人通過勒索軟件的日收益在100到300元不等

（三）產業鏈收益

2015年全年國內超過11.5萬部用戶手機被感染，2016年第一季度國內接近3萬部用戶手機被感染。每個勒索軟件的解鎖費用通常為20、30、50元不等，按照每個勒索軟件解鎖費用30元計算，2015年國內Android平臺勒索類惡意軟件產業鏈年收益達到345萬元，2016年第一季度接近90萬。國內Android平臺勒索類惡意軟件歷史累計感染手機34萬部，整個產業鏈收益超過了千萬元，這其中還不包括進群和收徒費用的收益。

四、制馬人人群特點

（一）制馬人年齡分布

從抽取的幾個傳播群中的人員信息可以看出，制馬人的年齡分布呈現年輕化，集中在90后和00后。

（二）制馬人人員架構

絕大多數制馬人既扮演著制作者，又扮演著傳播者的角色。他們一方面自己制作勒索軟件，再以各種方式進行傳播；另一方面又通過收徒的方式像傳銷一樣不斷發展下線，使制馬人和傳播者的人數不斷增加，勒索軟件的傳播范圍更廣。

這群人之所以肆無忌憚制作、傳播勒索軟件進行勒索敲詐，并且大膽留下自己的QQ、微信以及支付寶賬號等個人聯系方式，主要是因為他們年齡小，法律意識淡薄，認為涉案金額少，并沒有意識到觸犯法律。甚至以此作為賺錢手段，并作為向他人進行炫耀的資本。

五、被敲詐人人群特點

通過一些被敲詐的用戶反饋，國內敲詐勒索軟件感染目標人群，主要是針對一些經常光顧貼吧的人，以及希望得到各種“利器”、“外掛”的游戲QQ群成員。這類人絕大多數是90后或00后用戶，抱有不花錢使用破解軟件或外掛的僥幸心理，或者為了滿足互相攀比的虛榮心，容易被一些帶有“利器”、“神器”、“刷鉆”、“刷贊”、“外掛”等名稱的軟件吸引，從而中招。

0x05 Android平臺勒索軟件的預防

一、勒索軟件識別方法

1)軟件大小

安裝軟件時觀察軟件包的大小，這類勒索軟件都不會太大，通常不會超過1M。

2)軟件名稱

多數勒索軟件都會偽裝成神器、外掛及各種刷鉆、刷贊、刷人氣的軟件。

3)軟件權限

多數勒索軟件會申請“SYSTEM_ALERT_WINDOW”權限或者誘導激活設備管理器，需要在安裝和使用時留意。

二、提高個人安全意識

1)可信軟件源

建議用戶在選擇應用下載途徑時，應該盡量選擇大型可信站點，如360手機助手、各軟件官網等。

2)安裝安全軟件

建議用戶手機中安裝安全軟件，實時監控手機安裝的軟件，如360手機衛士。

3)數據備份

建議用戶日常定期備份手機中的重要數據，比如通訊錄、照片、視頻等，避免手機一旦中招，給用戶帶來的巨大損失。

4)拒絕誘惑

建議用戶不要心存僥幸，被那些所謂的能夠“外掛”、“刷鉆”、“破解”軟件誘惑，這類軟件絕大部分都是假的，沒有任何功能，只是為了吸引用戶中招。

5)正確的解決途徑

一旦用戶不幸中招，建議用戶不要支付給敲詐者任何費用，避免助漲敲詐者的囂張氣焰。用戶可以向專業的安全人員或者廠商尋求解決方法。

0x06 Android平臺勒索軟件清除方案

一、手機重啟

手機重啟后快速對勒索軟件進行卸載刪除是一種簡單便捷的清除方法，但這種方法取決于手機運行環境和勒索軟件的實現方法，僅可以對少部分勒索軟件起作用。

二、360手機急救箱

360手機急救箱獨有三大功能：“安裝攔截”、“超強防護”、“搖一搖殺毒”，可以有效的查殺勒索軟件。

安裝攔截功能，可以讓勒索軟件無法進入用戶手機；

超強防護功能，能夠清除勒索軟件未經用戶允許設置的鎖屏PIN碼，還能自動卸載木馬；

搖一搖殺毒可以在用戶中了勒索軟件，無法操作手機的情況下，直接殺掉木馬，有效保護用戶安全。

三、安全模式

安全模式也是一種有效的清除方案，不同的機型進入安全模式的方法可能不同，建議用戶查找相應機型進入安全模式的具體操作方法。

我們以Nexus 5為例介紹如何進入安全模式清除勒索軟件，供用戶參考。步驟如下：

• 步驟一：當手機被鎖后長按手機電源鍵強制關機，然后重啟手機。
• 步驟二：當出現Google標志時，長按音量“-”鍵直至進入安全模式。
• 步驟三：進入“設置”頁面，找到并點擊“應用”。
• 步驟四：找到對應的惡意應用，點擊卸載，重啟手機，清除成功。

四、ADB命令

對有一定技術基礎的用戶，在手機有Root權限并且已經開啟USB調試（設置->開發者選項->USB調試）的情況下，可以將手機連接到電腦上，通過ADB命令清除勒索軟件。

針對設置PIN碼類型的勒索軟件，需要在命令行下執行以下命令：

#!bash
> adb shell
> su
> rm /data/system/password.key

針對其他類型的勒索軟件，同樣需要在命令行下執行rm命令，刪除勒索軟件安裝的路徑。

五、刷機

如以上方法都無法解決，用戶參考手機廠商的刷機指導或者到手機售后服務，在專業指導下進行刷機操作。

0x07 附錄：參考資料

• 【1】：Mobile security
• 【2】：FakeAV holds Android Phones for Ransom
• 【3】：Police Locker land on Android Devices
• 【4】：ESET Analyzes Simplocker – First Android File-Encrypting, TOR-enabled Ransomware
• 【5】：TkLocker分析報告
• 【6】：病毒播報之流氓勒索
• 【7】：Vandal Trojan for Android wipes memory cards and blocks communication
• 【8】：手機鎖屏勒索國內首現身
• 【9】：Aggressive Android ransomware spreading in the USA