新的Android Ransomware使用ClickJacking来获得管理员权限

文件加密目标Android设备的ransomware应用程序正在变得越来越复杂。一个新的此类程序正在使用ClickJacking技术来欺骗用户授予IT管理员权限。

ClickJacking是一种方法，涉及以允许攻击者劫持用户的方式操纵用户界面“点击并触发未经授权的操作。它主要用于基于Web的攻击，各种技术允许创建不可见的按钮并将它们定位在看似无害的页面元素之上。

由于Android中的限制性应用程序权限系统，针对操作系统的Ransomware应用程序历史上毫无乐于Windows的生效。例如，许多早期的Android赎金软件威胁仅在屏幕上显示持久窗口，其中警报旨在吓到用户付出虚拟罚款。其中大多数是执法机构的巨大，并声称设备被锁定，因为在它们上发现了非法内容。

随着时间的推移，出现了更多的攻击变体，也会在存储分区上加密文件，并且更难卸载。但是，要按预期工作，这些变体需要“设备管理员”访问。

启用此功能需要通过安装应用程序后显示的特殊“激活设备管理员”对话框从设备所有者确认。为了让用户“批准大多数赎金软件应用程序 - 这通常伪装成合法性应用 - 依赖于社交工程，例如通过声称他们要求提供的功能之一需要更高的访问。

据赛门铁克的研究人员说，Ransomware创作者现在已经将它带到了一个下一级。一个名为Android.LockDroid.e的新威胁滥用了Android应用程序可以触发的不同类型的Windows，他们在周三的博客文章中说。

安装后，LockDroid.e ransomware触发了“设备管理员激活”对话框，还会显示具有疑虑邮件的消息，索取邮件正在解压缩。Android在所有其他窗口中显示此特定窗口类型，因此涵盖设备管理员对话框。

几秒钟后，应用程序显示使用Type_System_overlay的另一个窗口，也涵盖了“设备管理员”对话框。第二个窗口包含“安装完成”消息和名为“继续”的按钮。

“继续”按钮实际上是假的，因为Type_System_overlay Windows不设计用于接收用户界面输入，如抽头。但是，它位于隐藏设备管理员激活对话框的“确认”按钮顶部完美地定位。

因此，当用户点击“继续”时，操作实际上将传输到下面的设备管理员窗口，特别是其“确认”按钮。

从Android 5.0（Lollipop）开始，这两个对话框类型不再显示在系统权限对话框之上，如Device Administrator的对话框之上。然而，坏消息是，根据Google Play的最新统计数据，三分之二的Android设备运行版本超过5.0。

“赛门铁克研究人员说：”在Google Play上找不到恶意应用程序，并可从第三方App商店，论坛或Torrent网站下载。““安装Google Play的用户通过验证应用程序免受此应用程序的保护，即使在Google Play之外下载它也是如此。赛门铁克建议用户只能从受信任的App商店下载应用程序。“