2022年01月17日至2022年01月23日,国家互联网应急中心(简称“CNCERT”)通过自主监测和样本交换形式共发现16个锁屏勒索类的恶意程序变种,历史累计通报该类恶意程序5047个,该类病毒通过对用户手机锁屏,勒索用户付费解锁,对用户财产安全造成了严重的威胁。
Android勒索类病毒常见恶意行为
1)恶意程序强制将自身界面置顶,致使用户手机处于锁屏状态,无法正常使用;
2)恶意程序私自重置用户手机锁屏PIN密码;
3)恶意程序监测开机自启动广播,触发开机自启动广播后,便会启动锁屏代码;
4)恶意程序预留联系方式,提示用户付费解锁。
Android勒索类病毒本周样本
2.1 本周发现的Android勒索类病毒变种文件MD5和程序名称信息分别如下:
| 样本MD5 | 程序名称 |
| 8168F1068F4C7544D734B5C8863E3C00 | 秒抢红包 |
| 08795C5D9C4EAC85423CB282DF46630D | QQ刷空间人气 |
| A10E9A6489303D94E12B797BDFF0EA93 | 系统用户界面 |
| A27F0542E0A00B577658AEBD80571379 | 酷跑刷钻助手 |
| BBFAAF4B5D0C5F450C9E47A829867B12 | 吃鸡无敌大全外挂 |
| C1F420DDE3B0B215FABDC898AC654BD6 | 大哥带你刷Q币 |
| CA9F72149E87CA36530E9E4AA3BFD840 | 晨风机器人 |
| CDF0238B724F33F8E190B0C9F2F31327 | 安宇 |
| DE9AEAAFE5C0F8B1F0028DCA945CEE24 | QQ装逼代码 |
| DF1374D360E8D7B0457514BE6E50E815 | cf外挂助手激活版 |
| E812A0A1EE38894E7F6C85CE8E4331F9 | QQ美化包 |
| F80DB7D47D2CAAFAC9FE5583E9DAD103 | 小熊自制超强辅助 |
| FA16A4B82811349B784217B7487D24E1 | schuigdrl |
| FBE2A1FDE8DA24AC3EAE3DD7205ABBFF | 绝剑 |
| FDAE37B5182C3377E5A759A54F50FD9D | 天天酷跑多功能辅助(稳定) |
| 771B33880B2AA17316E9F44E0F31B6D1 | 小超锁机 |
2.2 本周发现的Android勒索类病毒变种预留联系方式信息分别如下:
| 预留联系方式 | 预留联系方式属性 | 预留联系方式昵称 | 预留联系方式头像 |
| 329***2165 | QQ号码 | 洪荒少女~ |
|
| 956***54 | QQ号码 | ๑҉ |
|
| 304***5921 | QQ号码 |
|
|
| 736***851 | QQ号码 |
|
|
| 779***391 | QQ号码 | 白钰。 |
|
| 121***3364 | QQ号码 | 普通人 |
|
| 169***0080 | QQ号码 | angry老鱼 |
|
| 258***3868 | QQ号码 | 陌路 |
|
| 177***8205 | QQ号码 | 暧昧先生 |
|
| 267***5112 | QQ号码 | 小熊 |
|
| 287***2874 | QQ号码 | 夜神月 |
|
| 265***0998 | QQ号码 | YUN |
|
| 114***0471 | QQ群号码 | 诗梦解锁 |
|
成员单位可在网络安全威胁信息共享平台获取该移动互联网恶意程序样本信息。网络安全威胁信息共享平台地址:https://share.anva.org.cn
网络安全威胁信息共享平台
网络安全威胁信息共享平台由中国互联网网络安全威胁治理联盟(CCTGA)主持并建设,以方便企业共享威胁信息为出发点,以建立网络安全纵深防御体系为目标,汇总基础电信运营企业、网络安全企业等各渠道提供的恶意程序、恶意地址、恶意手机号、恶意邮箱等网络安全威胁信息数据,建立公开透明、公平公正的信息评价体系,利于各企业获得想要的数据,激励企业贡献有价值的数据,促进信息共享的发展,遏制威胁信息在网络中的泛滥。
原文始发于微信公众号(ANVA反病毒联盟):每周典型移动恶意APP安全监测报告–“Android勒索类病毒”篇(2022-01-17-2022-01-23)
