关于Android锁屏勒索的分析

时光荏苒，白驹过隙。转眼之前已经毕业了两年，个人比较懒散，最近萌生记录工作的一些内容或者做一点分享。

今天想做一个Android锁屏勒索应用分析
随手推荐两份安全年报
1.http://www.aqniu.com/industry/23417.html
2.http://blogs.360.cn/360mobile/2017/02/28/review_android_malware_of_2016/

进入正题，拿到一个Android锁屏勒索应用
程序名：炸妈屌盒

1.动态分析
直接在模拟器上面跑一下，就算被锁了也不会怀孕。
程序请求激活设备管理器

激活之后，成功被锁住了。上面的信息有的都是吓唬人，现在要解锁的话可以直接用adb把这个应用卸载了，也可以直接把模拟器删除。

2.静态分析
使用Android逆向分析工具 jeb打开，可以看到以下结果，说明该应用是使用了开发工具AIDE

查看程序主结构：

再配合AM文件查看程序申请的权限，该应用申请了两个个锁屏类的关键权限
android:name=”android.permission.SYSTEM_ALERT_WINDOW 系统弹窗权限
android:name=”android.permission.RECEIVE_BOOT_COMPLETED” 开机自启权限

从主程序入口splash开始，直接看onCreate方法
会跳转到设备管理器，点击激活后跳转到MainActivity

开机自启的广播触发后就会一直加载类
com.duowan.mcbox.mconline.suo（锁屏信息）

可以直接从里面查看到密码。没错，就是这么嘲讽，按要求输入“我是傻逼”就能解锁，但是解锁之后又会触发另一层锁

找到重置锁屏密码的方法，密码456，不过因为激活了设备管理器，如果没有root权限就无法直接删除，可能进入安全模式下可以删除吧（还没试过）

本文介绍的双锁勒索软件，没有使用比较复杂的加密算法，都是明文，分析拿到key是比较容易的。以上就是一个勒索应用的简单分析过程，最后一言，千万不要手贱。