赛门铁克揭示Android勒索软件可直接在移动设备中创建变种

随着移动设备的大范围普及，针对移动设备的勒索软件攻击数量也随之大增。近日，赛门铁克发现已知勒索软件家族Android.Lockdroid.E的若干变种，这些变种利用 Andriod集成开发环境 （AIDE），可在Android设备上直接开发而成。当前，有少部分Android勒索软件开发者群体在采用这种新的开发技术。然而，在移动设备中创建恶意软件很可能为未来恶意软件的创建开辟新的途径。

什么是快速应用开发？

在移动设备中创建新的勒索软件所使用的技术相对较新。勒索软件由软件开发中的“快速应用开发”（RAD） 模型创建而成。该方法通常受到用户界面需求推动，用于开发需要快速成型的软件。正因为该方法依赖于强大的图形用户界面 （GUI），所以十分适合开发移动应用程序。 利用 GUI构建器，RAD模型能够更轻松地构建应用，通过拖放式向导功能可用于构建界面和应用。集成开发环境 （IDEs）是RAD模型的另一项必备要素，可自动生成样板式代码，帮助开发人员快速构建应用程序。这些功能使攻击者能够更容易地快速创建软件，并且不必担心计划和设计工作。

在移动设备中开发勒索软件

构建Android应用所需的工具通常为基于电脑的软件。这意味着，如果使用这些软件，开发人员需要一台电脑才能够创建Android应用程序，这是应用开发最常见的情形。而在本文设计的案例中，攻击者能够直接在移动设备上使用IDE对Android.Lockdroid.E变种进行设计、构建、实施、修改及签署.这些变种中包含了表明开发时所使用的Android 集成开发环境 （AIDE）的残余代码。需要指出的是，AIDE自身不具有恶意性，它是一个合法的学习平台，可用于直接在Android设备上开发移动应用。

为什么使用AIDE开发勒索软件？
攻击者在构建勒索软件变种时，能够利用AIDE所提供的移动性、灵活性以及快速修改代码的能力。举例说明，一个没有经验的开发人员可能只想利用现有代码创建一个新的变种，那么他只需直接在设备上修改几行代码（比如硬编码电子邮件账号或密码）便可创建一个新变种。那么，经验丰富的恶意软件开发者甚至可以在无需一台笔记本电脑就可以随时创建一个勒索软件。

利用移动设备开发的勒索软件正在快速兴起

赛门铁克发现，Lockdroid.E的变种已经开始针对中文用户，并且正在通过垃圾邮件或设备上已安装的浏览器劫持程序进行传播。Lockdroid.E与典型勒索软件的作用方式相似——锁定受害者屏幕。一旦移动设备上安装了一种变种，它便会在感染设备的用户界面顶部创建一种窗口（如下图中所示）。之后，恶意软件会告之用户，若想解锁设备，需要通过即时通讯工具QQ联系攻击者，并要求受害者支付一定赎金来解锁其设备。

已锁定屏幕上显示消息，要求用户通过 QQ 联系攻击者

在此案例中，解锁设备屏幕所需的编码被硬编码在恶意软件代码的变量中。攻击者的QQ 被硬编码在另一个变量中。新手攻击者不断使用AIDE来修改这些变量值，以指向不同的QQ账号和解锁密码。利用AIDE，攻击者能够将他们的Android设备用作开发平台，快速简便地创建新的变种。但由于新手开发者缺乏经验，所以他们有时会在修改时犯一些编辑错误，从而导致变种软件出错。利用现有代码创建拥有不同配置的新型变种与传统的恶意软件开发方法相差无几。不过，RAD模型的采用表明，攻击者正在试图寻找更快速、更灵活的创建恶意软件的方式。

安全防护

赛门铁克建议，用户采取以下最佳安全措施：

• 及时更新您的软件和操作系统

• 切勿安装来自未知或不信任来源的应用

• 密切注意手机应用的请求权限

• 经常备份您的设备

• 安装一款移动安全应用来保护您的设备与数据，例如 Norton Mobile Security

赛门铁克和诺顿产品可检测到Android.Lockdroid.E威胁，为用户提供可靠的安全防护。