Android 勒索软件 SLocker 新变种通过社交网络 QQ 服务传播

据外媒 8 月 2 日报道，趋势科技（ Trend Micro ）研究人员于 7 月首次发现模仿 WannaCry 的 GUI（ 图形用户界面）的 Android 勒索软件 SLocker 新变种滥用社交网络 QQ 服务与锁屏功能肆意感染移动设备。目前，警方已逮捕 SLocker 开发人员，但其他非法操作人员仍逍遥法外。

调查显示，多数攻击者主要利用移动端 QQ 聊天讨论组 “ 钱来了 ” 或 “ 王者荣耀修改器 ”传播 SLocker 新变种。“ 王者荣耀 ” 是当前中国市场最受欢迎的网络游戏之一，拥有 2 亿注册用户。

图1. 赎金票据截图

SLocker 新变种除利用 GUI 诱导用户下载勒索软件外，还在内部设计上作出部分更改，即具备变换设备壁纸功能。由于 SLocker 新变种使用 Android 集成开发环境（AIDE）创建，因此可直接用于 Android 设备开发应用程序。值得注意的是，攻击者利用 AIDE 环境更加容易开发简单的 Android 工具包（APK），以吸引更多新用户输出其他变种。此外，勒索软件供应商还可使用合法云存储服务（bmob）更改解密密钥。

尽管该变种新附加功能看上去更为高级，但实际加密过程并不复杂。与上一版本使用 HTTP、TOR 或 XMP P与 C＆C 远程服务器进行通信相比，此变种甚至不使用任何 C＆C 通信技术。研究人员分析勒索软件样本后发现，一旦受感染设备执行命令，SLocker 新变种将加密目标 SD 卡中包括缓存、系统日志与 tmp 文件在内的所有文件类型。另外，SLocker 新变种似乎还使用 AES 算法与过时的 DES 算法加密文件数据。

图2. DES 加密算法的代码片段

或许是为了弥补加密 SD 卡所有文件类型这一缺陷，该变种还具备持久锁屏功能。如果受害者点击赎金缴纳界面的 “ 解密 ” 按键，将会出现管理员页面；如果点击 “ 取消 ”，攻击者就会持续劫持用户屏幕；如果点击 “ 激活 ”，该变体将重置设备 PIN 并进行锁屏。

相关数据表明，黑客目前并未放缓传播速率。研究人员建议移动用户从 Google Play 等合法应用商店下载应用、自行设置应用程序权限、定期备份数据并安装全方位傻毒软件。

附：原文报告《 新 WannaCry — SLocker 变种滥用 QQ 服务 》

原作者：Lorin Wu，译者：青楚，译审：游弋

from hackernews.cc.thanks for it.