賽門鐵克安全團隊最近發現，Android.Lockscreen(鎖屏惡意軟件)的新變種正在通過偽隨機密碼，阻止受害者在不支付贖金的情況下解鎖設備。此前，這類勒索軟件的早期版本使用硬編碼密碼鎖定屏幕。然而，安全專業人士能夠對代碼進行反向工程，為受害者提供密碼解鎖設備。此外，攻擊者通過結合自定義鎖屏和設備鎖屏來增加解鎖難度。賽門鐵克過去針對類似移動威脅的監測顯示，此類木馬程序能夠在傳播前，直接在移動設備上進行創建。經過分析，賽門鐵克安全團隊發現在中國出現的此類安全威脅為Android.Lockscreen(鎖屏惡意軟件)。

偽隨機密碼

一旦移動設備感染木馬，這類惡意軟件便會創建一個自定義的“系統錯誤”窗口，強行覆蓋在感染設備每一個可見的UI之上。此時，惡意軟件會在窗口中顯示恐嚇消息，告知受害者通過聯系攻擊者才能獲得解鎖密碼。

圖1.鎖屏窗口：告知受害者如何解鎖設備的系統錯誤窗口

此前，這類木馬的舊版本使用密碼來解鎖樣本代碼中的設備硬編碼，而新變種版本則淘汰了硬編碼密碼，并替換為偽隨機編碼，部分變種木馬會生成六位數或八位數編碼。

圖2.六位數代碼的偽隨機數生成器

圖3.八位數代碼的偽隨機數生成器

在圖2所展示的攻擊事件中，解鎖密碼為137911，生成方式為：139911 – 2000 = 137911。由于使用“Math.Random()”函數計算得出的基數不同，因此每個感染設備所生成的編碼也有所不同。

雙鎖屏

為了增強解鎖難度，這類惡意軟件的作者還會結合使用偽隨機密碼和以往采用的攻擊手段。除了使用“系統錯誤”窗口這類定制化鎖屏外，攻擊者還會利用設備管理員權限更改Android設備的正常鎖屏PIN密碼。但值得一提的是，如果用戶在設備感染之前設置了PIN密碼，那么Android Nougat將會阻止攻擊者調用“resetPassword()”。

賽門鐵克建議用戶采用以下措施，抵御移動威脅：

·及時更新并確保軟件為最新版本;

·避免從陌生網站下載移動應用，只信任安裝來自可靠來源的移動應用程序;

·密切注意應用所請求的權限;

·在移動設備中安裝一款合適的移動安全應用，以保護設備和數據安全，比如諾頓;

·定期備份設備中的重要數據;