安全路透社
当前位置:安全路透社 > 网络转载 > 正文

席卷全球的“霸屏”病毒:技术分析与处理

根据猎豹移动针对全球手机用户的数据统计,霸屏类病毒在最近两个月有蔓延的势头,尤其在俄罗斯、墨西哥等一些国家,危害极其严重。全球每天的感染手机在3万台以上。

霸屏类病毒概况

霸屏类病毒全球感染量在不同的地区分布不尽相同,其中以俄罗斯最高:

 1.png

国内也是霸屏类病毒的重灾区之一,每天大概都有3000左右的中毒用户:

 2.png

“霸屏勒索”类病毒是手机用户感知较重的一类病毒,其主要行为为:

1、通过设置窗口的flag,显示一个置顶的窗口,让用户无法通过屏幕来操作手机

2、循环显示激活设备管理器界面,要求用户激活设置管理器

3、激活设备管理器后重置、更改屏幕解锁密码

4、留下病毒作者的相关联系方式,勒索用户钱财

中毒截屏

3.jpg

 4.png

国内霸屏病毒一般伪装为QQ刷钻、游戏辅助工具和一些其它色情、黑客工具等,诱导用户下载安装。

Q币活动助手 cf辅助器 A片播放器
Q币刷取器-破解版 cf刷枪软件 DDos攻击
QQ强制封号系统 酷跑刷钻 最新一键免流
QQ强红包 球球大作战辅助 终极短信轰炸
空间赞破解版 全民枪战破解导入 锁机生成器
QQ卡永久业务 烧饼修改器(免root) 手机轰炸机
红包快抢 天天酷跑卡钻 爱奇艺VIP版
QQ防撤回 王者荣耀盒子 爱奇艺破解版
…… …… ……

 6.png

国外样本主要伪装为以下类型App:

 7.png

霸屏病毒的技术解析

一般霸屏方式包括:

Ø  TYPE_SYSTEM_ERROR

Added in API level 1

intTYPE_SYSTEM_ERROR

Window type: internal systemerror windows, appear on top of everything they can. In multiuser systems showsonly on the owning user's window.

Constant Value: 2010(0x000007da)

内部系统内部错误窗口,置于所有窗口的前端

  8.png

Ø  FLAG_FULLSCREEN|FLAG_LAYOUT_IN_SCREEN

FLAG_FULLSCREEN

Added in API level 1

intFLAG_FULLSCREEN

Window flag: hide all screendecorations (such as the status bar) while this window is displayed. Thisallows the window to use the entire display space for itself -- the status barwill be hidden when an app window with this flag set is on the top layer. Afullscreen window will ignore a value ofSOFT_INPUT_ADJUST_RESIZE for the window's softInputMode field; the window willstay fullscreen and will not resize.

Constant Value: 1024(0x00000400)

隐藏屏幕上所有内容,允许当前窗口使用整个屏幕

FLAG_LAYOUT_IN_SCREEN

Added in API level 1

intFLAG_LAYOUT_IN_SCREEN

Window flag: place the windowwithin the entire screen, ignoring decorations around the border (such as thestatus bar). The window must correctly position its contents to take the screendecoration into account. This flag is normally set for you by Window asdescribed in setFlags(int, int).

Constant Value: 256(0x00000100)

将窗口置于整个屏幕

 9.png

 Ø TYPE_PHONE

Added in API level 1

intTYPE_PHONE

Window type: phone. These are non-applicationwindows providing user interaction with the phone (in particular incomingcalls). These windows are normally placed above all applications, but behindthe status bar. In multiuser systems shows on all users' windows.

Constant Value: 2002 (0x000007d2)

来电话的时候会被覆盖,其它情况下在最前端,显示位置在状态栏下面

 10.png

Ø TYPE_TOAST

Added in API level 1

intTYPE_TOAST

Window type: transientnotifications. In multiuser systems shows only on the owning user's window.

Constant Value: 2005(0x000007d5)

不属于悬浮窗, 但有悬浮窗的功能,显示于顶层

 11.png

Ø  循环获取顶层Activity,不是自己则杀掉并启动自己的Activity

  12.png

 Ø  获取设置管理器权限后更改/设置锁屏密码

 13.png

以上各种方式中以循环显示Activity和Flag TYPE_SYSTEM_ERROR为主要利用方式,比例如下:

 14.png

即大部分霸屏的病毒使用的都是TYPE_SYSTEM_ERROR这个Flag

预防与应对措施

预防:

1、  平时不要安装/打开未知来源应用

2、  不要随便给未知软件设备管理器权限

3、  打开USB调试与电脑关联,必要的时候可通过其它方式卸载

4、  爱折腾的用户可以刷入第三方recovery,如TWRP

处理:

1、  手机如果开启了USB调试,可在电脑上执行如下命令卸载

pm list packages -3找出病毒的包名

pm uninstall ‘pkg’ 来卸载

 15.png

2、  重启进入recovery,利用第三方recovery的文件管理功能来删除/data/app/’pkg’里的apk文件

3、  如果激活了设备管理器,打开了USB调试并且手机已经root可以强制删除病毒程序及存储锁屏密码的文件达到清除的目的

a)        su

b)        rm –r /data/app/’pkg’目录

c)        rm /data/system/password.key

d)        rm /data/system/gesture.key

e)        reboot

 16.png

* 本文作者:猎豹移动安全实验室

未经允许不得转载:安全路透社 » 席卷全球的“霸屏”病毒:技术分析与处理

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册