Loading
0

席卷全球的“霸屏”病毒:技术分析与处理

' ZhaoHuan 2016年11月11日 病毒分析 212 0

根据猎豹移动针对全球手机用户的数据统计,霸屏类病毒在最近两个月有蔓延的势头,尤其在俄罗斯、墨西哥等一些国家,危害极其严重。全球每天的感染手机在3万台以上。
霸屏类病毒概况
霸屏类病毒全球感染量在不同的地区分布不尽相同,其中以俄罗斯最高:


国内也是霸屏类病毒的重灾区之一,每天大概都有3000左右的中毒用户:


“霸屏勒索”类病毒是手机用户感知较重的一类病毒,其主要行为为:
1、通过设置窗口的flag,显示一个置顶的窗口,让用户无法通过屏幕来操作手机
2、循环显示激活设备管理器界面,要求用户激活设置管理器
3、激活设备管理器后重置、更改屏幕解锁密码
4、留下病毒作者的相关联系方式,勒索用户钱财
中毒截屏


国内霸屏病毒一般伪装为QQ刷钻、游戏辅助工具和一些其它色情、黑客工具等,诱导用户下载安装。
Q币活动助手
cf辅助器
A片播放器
Q币刷取器-破解版
cf刷枪软件
DDos攻击
QQ强制封号系统
酷跑刷钻
最新一键免流
QQ强红包
球球大作战辅助
终极短信轰炸
空间赞破解版
全民枪战破解导入
锁机生成器
QQ卡永久业务
烧饼修改器(免root)
手机轰炸机
红包快抢
天天酷跑卡钻
爱奇艺VIP版
QQ防撤回
王者荣耀盒子
爱奇艺破解版
……
……
……


国外样本主要伪装为以下类型App:


霸屏病毒的技术解析
一般霸屏方式包括:
Ø  TYPE_SYSTEM_ERROR
Added in API level 1
intTYPE_SYSTEM_ERROR
Window type: internal systemerror windows, appear on top of everything they can. In multiuser systems showsonly on the owning user's window.
Constant Value: 2010(0x000007da)
内部系统内部错误窗口,置于所有窗口的前端


Ø  FLAG_FULLSCREEN|FLAG_LAYOUT_IN_SCREEN
FLAG_FULLSCREEN
Added in API level 1
intFLAG_FULLSCREEN
Window flag: hide all screendecorations (such as the status bar) while this window is displayed. Thisallows the window to use the entire display space for itself -- the status barwill be hidden when an app window with this flag set is on the top layer.    Afullscreen window will ignore a value ofSOFT_INPUT_ADJUST_RESIZE for the window's softInputMode field;    the window willstay fullscreen and will not resize.
Constant Value: 1024(0x00000400)
隐藏屏幕上所有内容,允许当前窗口使用整个屏幕
FLAG_LAYOUT_IN_SCREEN
Added in API level 1
intFLAG_LAYOUT_IN_SCREEN
Window flag: place the windowwithin the entire screen, ignoring decorations around the border (such as thestatus bar). The window must correctly position its contents to take the screendecoration into account. This flag is normally set for you by Window    asdescribed in setFlags(int, int).
Constant Value: 256(0x00000100)
将窗口置于整个屏幕


Ø TYPE_PHONE
Added in API level 1
intTYPE_PHONE
Window type: phone. These are non-applicationwindows providing user interaction with the phone (in particular incomingcalls). These windows are normally placed above all applications, but behindthe status bar. In multiuser systems shows on all users'    windows.
Constant Value: 2002 (0x000007d2)
来电话的时候会被覆盖,其它情况下在最前端,显示位置在状态栏下面

分页阅读: 1 2
【声明】:8090安全小组门户(http://www.8090-sec.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们:邮箱hack@ddos.kim,我们会在最短的时间内进行处理。