原文地址:http://drops.wooyun.org/mobile/5210

0x00 前言

最近哈勃文件系統捕獲一批FBI敲詐病毒及其變種，該類病毒通過色情網址誘導用戶下載安裝，一旦用戶安裝運行，病毒會強制置頂自身并顯示恐嚇信息，對用戶進行敲詐勒索。

0x01 傳播途徑

通過色情網址誘導用戶下載安裝。

程序安裝后的圖標：

0x02 惡意行為概述

當訪問色情網址時，會誘導用戶下載安裝該惡意樣本。一旦安裝，duang~，不幸發現自己中了大招，手機變磚頭了。

惡意病毒將強制將自身置頂，無論是按HOME鍵，還是關機重啟，完全不管用，敲詐恐嚇信息始終在那里：顯示虛假恐嚇信息，敲詐用戶支付$500金額的MonkeyPak。

病毒的惡意行為：

1. 樣本首先會添加設備管理器：

2. 強制將自身置頂：

3. 打開前置攝像頭并拍照、獲取添加賬戶的郵箱列表及手機硬件信息：

4. 將第三步獲取的信息、相關命令字以及輸入的MoneyPak號等信息加密后上傳到服務器：

5. 分析樣本文件發現，惡意應用的制作者在驗證MoneyPak可用時，會將服務器的返回信息中的status項的值置為77并保存在配置文件里，遠程控制病毒程序退出：

由以上分析可知，一旦中了該病毒，用戶就沒有機會進入手機，更無法啟動殺軟來清除、修復。那這個時候，手機變磚了嗎？當然不是。哈勃分析系統發現這個病毒之后，決定第一時間要為用戶解決這個難題，用最快的時間來出（jia）專（te）殺（ji）。 用戶可以在http://habo.qq.com/Download/FBIVirusKiller下載FBI敲詐病毒專殺工具，按照工具的指引即可快速清除病毒。

使用專殺工具的前提是手機開啟了“USB調試”（有人會擔心手機沒有ROOT怎么辦，這里特別強調一下，未ROOT的手機也可以完美解決）。 如果不滿足專殺工具的使用條件，可以嘗試采用如下步驟手動清除：

1. 關閉手機后，重新啟動進入安全模式

?主流安卓手機進入安全模式的方式是，按住【電源鍵】開機，直到屏幕上出現品牌LOGO或運營商畫面后，按住【音量減少】鍵不放。如果進入安全模式成功，鎖屏界面的左下角會顯示“安全模式”字樣。

2. 進入設置-安全-設備管理器，找到病毒程序并取消激活

3. 進入設置-應用或應用程序，找到病毒程序并卸載

4. 重啟手機，進入正常模式，發現病毒程序已經被卸載了。

0x03 給用戶的安全建議

• 1. 廣大用戶手機一定要安裝安全軟件，在病毒感染手機前就可以發現其危險，避免安裝病毒后給您帶來損失。目前騰訊電腦管家、手機管家、哈勃分析系統均能準確識別此類病毒；
• 1. 在可靠的安卓市場上下載手機應用，不要安裝論壇或朋友轉發的手機應用；
• 1. 不要下載內容不健康的手機應用，如色情播放器類應用。