關於假冒「王者榮耀」輔助工具勒索APP威脅信息共享通報

近日，國家互聯網應急中心（簡稱「CNCERT」）發現了4款冒充時下熱門手游《王者榮耀》輔助工具的手機勒索病毒，該批病毒程序運行后都具有系統破壞及流氓行為，具體情況如下：

病毒基本信息

該批病毒的惡意行為特徵具有相同屬性，用戶一旦點擊運行手機就會持續置頂惡意軟體作者製作的界面，甚至還會被強制設置鎖屏密碼，如果不按照惡意程序界面顯示的方式付費解鎖，手機將無法進行任何操作，即使重啟也無效。

本次事件中涉及的4款病毒程序名稱分別為：王者榮耀輔助、王者榮耀修改器、王者榮耀刷皮膚升級版、王者榮耀皮膚修改器。安裝圖標分別如下：

病毒行為分析

2.1 程序啟動后誘騙用戶點擊，將自身攜帶的惡意程序釋放到系統目錄；

圖1 自身攜帶的惡意程序文件

圖2 惡意APK文件釋放到系統目錄的過程

2.2 釋放的惡意程序啟動后，誘騙用戶激活設備管理器，保護自身以免被卸載；

圖3 註冊廣播

圖4 誘騙用戶激活管理器

2.3釋放的惡意程序強制將自身界面置頂，致使用戶手機無法正常使用；

圖5 強制將自身界面置頂

圖6 生成鎖屏序列號和鎖屏密碼

圖7 鎖屏密碼正確方可解鎖

2.4釋放的惡意程序私自重置用戶手機PIN密碼；

圖8 重置用戶手機PIN碼

2.5釋放的惡意程序監測開機自啟動廣播，觸發開機自啟動廣播，便會重新鎖屏。

圖9 註冊廣播

圖10 觸發開機自啟動廣播，重新啟動鎖屏代碼

樣本惡意數據分享

3.1本次事件涉及到的惡意程序文件MD5信息如下：

2D12C884984E18819F595040EC0EAF1E

2E1F56A2447361EA4D13928DCFE6CA22

49A48E8FBDDCA1B2B7443BA3ABF8B3B3

316680B8C227BE3F4CD722D32134E91C

3.2本次事件威脅安全的QQ社交賬戶MD5信息如下：

37485F8F930C3B74062DCB15A00E9F23

298D829CDB5A524FDA619184199A0F0D

B1BE3C42E4EFD47D13E539E07E92B93E

1A2A75D4DF0A218F7116E45F430C9857

各成員單位可在網路安全威脅信息共享平台獲取該移動互聯網惡意程序樣本信息。網路安全威脅信息共享平台地址：

網路安全威脅信息共享平台由互聯網協會反網路病毒聯盟（ANVA）主持並建設， 以方便企業共享威脅信息為出發點，以建立網路安全縱深防禦體系為目標，匯總基礎電信運營企業、網路安全企業等各渠道提供的惡意程序、惡意地址、惡意手機號、惡意郵箱等網路安全威脅信息數據，建立公開透明、公平公正的信息評價體系，利於各企業獲得想要的數據，激勵企業貢獻有價值的數據，促進信息共享的發展，遏制威脅信息在網路中的泛濫。