2014.09.18

感染安卓移动设备的勒索木马变种日益增多，说明网络犯罪分子为自己开辟了一个不错的非法收入来源。大多数恶意程序使用既定的勒索模式：恶意程序启动后锁定被感染的设备，并要求支付解锁。然而，Doctor Web公司病毒分析师新侦测到的又一勒索木马具有更多功能：除了能够锁定被感染设备并索要赎金，还能够启用系统标准功能来自动设置解屏密码。此外，该恶意程序能够发送各种短信，给潜在受害者造成更大的经济损失。

新木马已被添加到Dr.Web病毒库，命名为Android.Locker.38.origin，属于数量不断增加的锁定用户移动设备并要求支付解锁的恶意程序家族。此安卓勒索木马被犯罪分子伪装成系统更新进行传播，启动后申请设备管理员功能访问权限。随后该木马模仿安装更新的进程，从主屏幕删除自身图标，然后将确认设备已成功感染的信息发送到远程服务器，等待下一步指示。

不法分子可以从Web服务器利用JSON请求发出锁定目标设备的命令，或使用包含set_lock指令的短信。像许多Android.Locker家族木马一样，Android.Locker.38.origin锁定设备并在屏幕显示要求赎金的窗口，用户基本上无法被关闭这个窗口。

但如果受害用户通过取消恶意软件管理员权限来试图将其删除时， Android.Locker.38.origin 会启动另一种锁机手段，这正是其有别于其它类似Android威胁之处。

木马首先通过系统标准功能锁定屏幕，将被感染设备转入待机模式。解锁后，木马显示会删除所有保存在设备内存中信息的虚假警告。

确认所选择操作后，会再次锁定设备屏幕，木马会激活操作系统内置的退出待机状态的密码保护功能。无论之前此功能是否开启，恶意程序都会为设备设置一个解锁密码，密码为数字“12345”的任意组合。这样，被感染的安卓智能手机或平板电脑就被完全锁定，用户只能向不法分子交纳赎金（收到赎金后不法分子可使用set_unlock管理指令解锁），或者用户需要取消设备所有参数。

除了锁定移动设备，Android.Locker.38.origin还能将其变成短信僵尸，根据网络犯罪分子的指令发送各种短信，这可能会导致用户蒙受更多的经济损失。

使用Dr.Web for Android反病毒软件用户可不必担忧，您的移动设备在可靠保护之下，此木马无法入侵。