2015年03月10日 10:51 2649
锁屏软件是安卓手机端最常用的应用之一,一款好的锁屏软件能够防止用户误输入,误拨打,误上网等等,可以给用户带来非常好的体验。
但试想,如果锁屏软件让你都不能解锁了呢?近期阿里钱盾技术团队接到用户反馈,下载了一款非常可爱的应用“亲爱的、我爱你”之后,手机彻底不能用了。
但试想,如果锁屏软件让你都不能解锁了呢?近期阿里钱盾技术团队接到用户反馈,下载了一款非常可爱的应用“亲爱的、我爱你”之后,手机彻底不能用了。
流氓锁屏应用难以抵挡的萌与诱惑
1. 以萌与诱惑为名,流氓手机软件诱导运行
该软件通过使用“萌动”的图片和“诱惑性”的语言,诱导用户进行一步步的点击。
2. 流氓应用运行后,屏蔽所有界面点击操作
运行后,软件不断刷新其悬浮窗口,强制霸占系统顶层界面,屏蔽用户的界面操作,致使用户的无法正常使用系统。
普通用户无法进行任何操作,所有的界面点击操作(包括返回键和主菜单等键盘)全部失效,只有关机重启键和控制音量等按钮可以操作。在此种情况下,即使强制重启,在系统弹出关机和重启确认界面后,也会因为无法进行界面点击确认操作,进而无法进行正常重启和关机。该软件还具备自启动功能,因此强制断电重启后,普通用户也很难清除该软件。
阿里钱盾率先查杀该类流氓应用
目前针对这一流氓手机应用,阿里钱盾已经率先实现查杀,安装了阿里钱盾的用户在安装这款软件或运行这款软件的时候,阿里钱盾都会自动拦截和查杀。
流氓应用的主要功能模块Killpoccessserve分析
该软件的恶意功能模块killpoccessserve,以服务形式启动,启动后创建悬浮窗口,注册handle类型的回调函数。在其回调函数中不断刷新其悬浮窗口,并且强制占有系统顶层界面,以便达到屏蔽用户界面点击操作。此外,该软件使用了一些反编译技巧,致使常用的反编译软件apktool和dex2jar等工具无法正常使用。
技术人员通过使用最新版反编译工具ida对该软件的执行流程进行了动态跟踪和分析,详细的分析结果如下:
1、 MainActivity.onCreate函数的主要功能:启动killpoccessserve服务。
2、 Killpoccessserve服务的主要功能:创建悬浮窗口,创建回调函数,设置定时器。
a) 创建悬浮窗口,并完成悬浮窗口的各种属性设置。其中 LayoutParams flags 0x528 表示透明窗口,不可触摸,不接受任何事件,不影响后台的事件响应等
3、 killpoccessserve$100000000.handleMessage回调函数的主要功能:计算剩余时间和刷新悬浮窗口,根据定时器值判断是否自动退出。
a) 计算剩余时间和刷新悬浮窗口。
b) 如果解锁时间到了(killpoccessserve_timer为0),取消定时器,程序退出运行。
本文来自合作伙伴“阿里聚安全”.
