每周典型移动恶意APP安全监测报告—“Android勒索类病毒”篇（2018-07-02-2018-07-08）

2018-07-12  (编辑：ANVA)

2018年7月2日至7月8日，国家互联网应急中心(简称“CNCERT”)通过自主监测和样本交换形式共发现19个锁屏勒索类的恶意程序变种，该类病毒通过对用户手机锁屏，勒索用户付费解锁，对用户财产安全造成了严重的威胁。

01

Android勒索类病毒常见恶意行为分析

1）恶意程序强制将自身界面置顶，致使用户手机处于锁屏状态，无法正常使用；

2）恶意程序私自重置用户手机锁屏PIN密码；

3）恶意程序监测开机自启动广播，触发开机自启动广播后，便会启动锁屏代码；

4）恶意程序预留联系方式，提示用户付费解锁。

02

Android勒索类病毒本周样本

2.1 本周发现的Android勒索类病毒变种文件MD5和程序名称信息分别如下:

样本MD5	程序名称
C5F6D86F93C7E69AE11DE0C728C0EF1A	AndroidTool
B84375B6A7228376E3C61B21AA82F0CF	QQ装逼代码
BAA3A649ABE34836C267453D5B932171	QQ装逼代码
BBE52F1259D90430F9E5B7D0E937787C	QQ装逼代码
E89B158E4BCF988EBD09EB83F5378E87	QQ装逼代码
BB0768ABFFE61BA1744B975A3E8D19D3	点击卸载
C6C1A3A4743AC7CF8A7BA50DD7A83B08	脚本
C3F9E622B17E193B4C2BFDEDC3D9BE39	绝剑
C04E19A5C7F641F9F7AC2C961F875465	卡钻助手
BA5C769B018744058A6A6F24D092164A	酷跑刷钻助手
BDF3E17D16F390C954D894130B64E43F	魔幻粒子
BC5DE21D5F393279BA6B58D303B75FF5	陌陌刷钻助手
C8CE9DADB44D6B3E10BB6A1935C361D4	若曦五层锁
B4327F0725DB3F9C689F17224BBF5BA4	手游飞车刷车
C4F01E4556C8E771F1FB00FDFED8F7A9	天天酷跑离线卡钻
C5D0E5704DA5A5CF307A36E5039E2BBA	天天酷跑离线卡钻
C7D87C8EB1F0F463228B77AD96956302	天天酷跑离线卡钻
BBD58DFB146DB3C11F6F96DA69970875	王者荣耀刷成就助手
C2FB321BCDF16C5663FD526E020D0CC3	邪战梦锁机生成器

2.2 本周发现的Android勒索类病毒变种预留联系方式信息分别如下:

预留联系方式	预留联系方式属性	预留联系方式昵称	预留联系方式头像
918***830	QQ号码	爹
294***6940	QQ号码	星殇
295***5094	QQ号码	小冰
246***3548	QQ号码
140***7478	QQ号码	黑
312***5323	QQ号码	迷途※
268***5185	QQ号码	霸气✘永恒
110***0682	QQ号码	a'ゞ夕颜
103***1729	QQ号码	丿Memory、小灬马
126***5309	QQ号码	政宗大笨蛋
737***003	QQ号码	瘾
336***5857	QQ号码	*陈
207***7340	QQ号码
247***5202	QQ号码	初颜绝世
230***2441	QQ号码	迷.
985***339	QQ号码	Acolasia
239***5263	QQ号码	若*曦
681***258	QQ群号码	解锁找管理
588***691	QQ群号码	*源码分享群

各成员单位可在网络安全威胁信息共享平台获取该移动互联网恶意程序样本信息。网络安全威胁信息共享平台地址：https://share.anva.org.cn

网络安全威胁信息共享平台

网络安全威胁信息共享平台由中国互联网协会反网络病毒联盟（ANVA）主持并建设， 以方便企业共享威胁信息为出发点，以建立网络安全纵深防御体系为目标，汇总基础电信运营企业、网络安全企业等各渠道提供的恶意程序、恶意地址、恶意手机号、恶意邮箱等网络安全威胁信息数据，建立公开透明、公平公正的信息评价体系，利于各企业获得想要的数据，激励企业贡献有价值的数据，促进信息共享的发展，遏制威胁信息在网络中的泛滥。