Android惡意程式可全面接管裝置以向使用者勒索

美國專注於行動資安的Zimperium上周揭露一個全新的Android惡意程式DroidLock，鎖定講西班牙文的Android用戶展開攻擊。該惡意程式並未利用任何Android安全漏洞，而是透過取得無障礙服務（Accessibility）權限，最終接管受害者手機並進行勒索。

DroidLock主要透過釣魚網站散布，誘使使用者側載APK檔案，常偽裝成系統更新或合法應用程式。使用者一旦安裝，惡意程式會先要求啟用無障礙服務，並以偽造的更新畫面來引導操作。由於無障礙服務原本就被設計用來協助身障使用者操作裝置，一經授權，便能讀取畫面內容、模擬點擊與輸入，等同於替使用者操作整支手機。

在取得無障礙權限後，DroidLock便能代替使用者操作系統介面，協助完成其他敏感權限的授權，並進一步引導啟用裝置管理員身分。

至此，駭客已能鎖住裝置、變更裝置PIN碼或生物辨識設定，或是執行原廠重置；DroidLock也具備勒索軟體功能，駭客可透過遠端指令於手機上顯示覆蓋全螢幕的勒索畫面，要求使用者在24小時內聯絡指定電子郵件並支付贖金，否則將會清除裝置資料。

雖然該惡意程式不會加密檔案，但光是透過鎖機以及完全清除裝置內容的能力，就能迫使受害者支付贖金。

研究人員公布了DroidLock可接受的所有指令，涵蓋請求裝置管理員權限、把手機螢幕變黑、發送特定通知、鎖住裝置、顯示假的系統更新畫面、啟用遠端桌面存取功能、將裝置靜音、執行原廠重置、顯示勒索覆蓋畫面、封鎖特定App、阻止裝置解鎖、喚醒螢幕、啟用相機、解除安裝特定App，以及於特定App注入行為等。

Zimperium指出，DroidLock顯示行動惡意程式正轉向濫用Android中原本合法的無障礙服務與裝置管理員機制，在未利用系統漏洞的情況下，即可取得近乎完整的裝置控制權，突顯出高權限濫用已成為行動資安的重要威脅。