天创培训:您身边的信息安全培训专家!
技术中心
席卷全球的“霸屏”病毒:技术分析与处理

根据猎豹移动针对全球手机用户的数据统计,霸屏类病毒在最近两个月有蔓延的势头,尤其在俄罗斯、墨西哥等一些国家,危害极其严重。全球每天的感染手机在3万台以上。 
霸屏类病毒概况
霸屏类病毒全球感染量在不同的地区分布不尽相同,其中以俄罗斯最高:
 
席卷全球的“霸屏”病毒:技术分析与处理
国内也是霸屏类病毒的重灾区之一,每天大概都有3000左右的中毒用户:
 
席卷全球的“霸屏”病毒:技术分析与处理
“霸屏勒索”类病毒是手机用户感知较重的一类病毒,其主要行为为:
1、通过设置窗口的flag,显示一个置顶的窗口,让用户无法通过屏幕来操作手机
2、循环显示激活设备管理器界面,要求用户激活设置管理器
3、激活设备管理器后重置、更改屏幕解锁密码
4、留下病毒作者的相关联系方式,勒索用户钱财
中毒截屏
席卷全球的“霸屏”病毒:技术分析与处理
 
席卷全球的“霸屏”病毒:技术分析与处理
国内霸屏病毒一般伪装为QQ刷钻、游戏辅助工具和一些其它色情、黑客工具等,诱导用户下载安装。
Q币活动助手 
cf辅助器 
A片播放器 
Q币刷取器-破解版 
cf刷枪软件 
DDos攻击 
QQ强制封号系统 
酷跑刷钻 
最新一键免流 
QQ强红包 
球球大作战辅助 
终极短信轰炸 
空间赞破解版 
全民枪战破解导入 
锁机生成器 
QQ卡永久业务 
烧饼修改器(免root) 
手机轰炸机 
红包快抢 
天天酷跑卡钻 
爱奇艺VIP版 
QQ防撤回 
王者荣耀盒子 
爱奇艺破解版 
…… 
…… 
……
 
席卷全球的“霸屏”病毒:技术分析与处理
国外样本主要伪装为以下类型App:
 
席卷全球的“霸屏”病毒:技术分析与处理
霸屏病毒的技术解析
一般霸屏方式包括:
Ø  TYPE_SYSTEM_ERROR
Added in API level 1
intTYPE_SYSTEM_ERROR
Window type: internal systemerror windows, appear on top of everything they can. In multiuser systems showsonly on the owning user's window.
Constant Value: 2010(0x000007da)
内部系统内部错误窗口,置于所有窗口的前端
  
席卷全球的“霸屏”病毒:技术分析与处理
Ø  FLAG_FULLSCREEN|FLAG_LAYOUT_IN_SCREEN
FLAG_FULLSCREEN
Added in API level 1
intFLAG_FULLSCREEN
Window flag: hide all screendecorations (such as the status bar) while this window is displayed. Thisallows the window to use the entire display space for itself -- the status barwill be hidden when an app window with this flag set is on the top layer.    Afullscreen window will ignore a value ofSOFT_INPUT_ADJUST_RESIZE for the window's softInputMode field;    the window willstay fullscreen and will not resize.
Constant Value: 1024(0x00000400)
隐藏屏幕上所有内容,允许当前窗口使用整个屏幕
FLAG_LAYOUT_IN_SCREEN
Added in API level 1
intFLAG_LAYOUT_IN_SCREEN
Window flag: place the windowwithin the entire screen, ignoring decorations around the border (such as thestatus bar). The window must correctly position its contents to take the screendecoration into account. This flag is normally set for you by Window    asdescribed in setFlags(int, int).
Constant Value: 256(0x00000100)
将窗口置于整个屏幕
 
席卷全球的“霸屏”病毒:技术分析与处理
 Ø TYPE_PHONE
Added in API level 1
intTYPE_PHONE
Window type: phone. These are non-applicationwindows providing user interaction with the phone (in particular incomingcalls). These windows are normally placed above all applications, but behindthe status bar. In multiuser systems shows on all users'    windows.
Constant Value: 2002 (0x000007d2)
来电话的时候会被覆盖,其它情况下在最前端,显示位置在状态栏下面
 
席卷全球的“霸屏”病毒:技术分析与处理

Ø TYPE_TOAST
Added in API level 1
intTYPE_TOAST
Window type: transientnotifications. In multiuser systems shows only on the owning user's window.
Constant Value: 2005(0x000007d5)
不属于悬浮窗, 但有悬浮窗的功能,显示于顶层
 
席卷全球的“霸屏”病毒:技术分析与处理
Ø  循环获取顶层Activity,不是自己则杀掉并启动自己的Activity
  
席卷全球的“霸屏”病毒:技术分析与处理
 Ø  获取设置管理器权限后更改/设置锁屏密码
 

以上各种方式中以循环显示Activity和Flag TYPE_SYSTEM_ERROR为主要利用方式,比例如下:
 
席卷全球的“霸屏”病毒:技术分析与处理
即大部分霸屏的病毒使用的都是TYPE_SYSTEM_ERROR这个Flag
预防与应对措施
预防:
1、  平时不要安装/打开未知来源应用
2、  不要随便给未知软件设备管理器权限
3、  打开USB调试与电脑关联,必要的时候可通过其它方式卸载
4、  爱折腾的用户可以刷入第三方recovery,如TWRP
处理:
1、  手机如果开启了USB调试,可在电脑上执行如下命令卸载
pm list packages -3找出病毒的包名
pm uninstall ‘pkg’ 来卸载
 
席卷全球的“霸屏”病毒:技术分析与处理
2、  重启进入recovery,利用第三方recovery的文件管理功能来删除/data/app/’pkg’里的apk文件
3、  如果激活了设备管理器,打开了USB调试并且手机已经root可以强制删除病毒程序及存储锁屏密码的文件达到清除的目的
a)        su
b)        rm –r /data/app/’pkg’目录
c)        rm /data/system/password.key
d)        rm /data/system/gesture.key
e)        reboot
 
席卷全球的“霸屏”病毒:技术分析与处理