释放双眼，带上耳机，听听看~！

来自猎豹移动安全研究实验室的安全专家发表了一个有趣的技术分析的移动变种的储存病毒。公然公开手机储存病毒的恶意行为储存病毒可以很容易地识别其明显的恶意行为：1.防止用户能够使用他们的手机的主屏幕的顶部将显示窗口。2.激活设备管理员页面经常显示以迫使用户授予病毒对系统的访问。

来自猎豹移动安全研究实验室的安全专家发表了一个有趣的技术分析的移动变种的储存病毒。

公然公开手机储存病毒的恶意行为

储存病毒可以很容易地识别其明显的恶意行为：

1.防止用户能够使用他们的手机的主屏幕的顶部将显示窗口。

2.激活设备管理员页面经常显示以迫使用户授予病毒对系统的访问。

3.管理员激活时，该病毒会更改锁定屏幕密码。

4.这种病毒将保持用户的联系信息，然后用它来勒索钱财。

下面的图 1 中显示中国储存病毒重灾区。每天大约有3000名用户手机会遭到感染。

图2和3显示在过去的15天世界范围内的储存病毒感染。感染的总体数量是多样化的，其中大部分是在俄罗斯。

储物柜病毒主要将自己伪装成系统的应用，像 Android 更新、语音助理，和 AdobeFlash Player。然而，它可以作为其他应用程序，像成人视频播放器，银行应用程序和流行的游戏，也出现，如图 4 所示。

这里是更衣室病毒用来锁定手机屏幕的各种方法︰

TYPE_SYSTEM_ERROR

在 API 级别 1 中添加

int TYPE_SYSTEM_ERROR

窗口类型︰内部系统错误窗口出现在屏幕顶部。在多用户系统中，它只显示在主用户的窗口。

常量值︰ 2010 (0x000007da)

内部系统错误窗口被显示在所有其他窗口 (图 5)。

FLAG_FULLSCREEN | FLAG_LAYOUT_IN_SCREEN

FLAG_FULLSCREEN

在 API 级别 1 中添加

int FLAG_FULLSCREEN

窗口的旗帜︰时设置一个标志与一个应用程序窗口是顶部图层隐藏所有屏幕装饰物（如状态栏中）。这允许窗口使用整个显示区域。一个全屏窗口将忽略 SOFT_INPUT_ADJUST_RESIZE 窗口的 softInputMode 字段; 一个值窗口会全屏，不会调整大小。

常量值︰ 1024 (0x00000400)

它会隐藏在屏幕上的所有其他内容，只允许使用全屏当前窗口。

FLAG_LAYOUT_IN_SCREEN

在 API 级别 1 中添加

int FLAG_LAYOUT_IN_SCREEN

窗口的标志︰它将放置该窗口内的整个屏幕，无视周围的边框（如状态栏）的装饰。窗口必须正确定位其内容采取考虑到屏幕装饰。此标志通常设置（请参见图6）由 WindowManager，setFlags （int，int）中所述。

常量值︰ 256 (0x00000100)

它在整个屏幕上放置该窗口。

TYPE_PHONE

在 API 级别 1 中添加

int TYPE_PHONE

窗口类型︰非应用程序窗口提供用户交互（如来电）手机。以上所有的应用程序，但在状态栏后面通常被放置这些窗口。在多用户系统中，它显示在所有用户的 windows 上。

常量值︰ 2002 (0x000007d2) — — 如图 7 所示

传入的电话时，此窗口将被覆盖。否则，窗口总是位于顶部的位置，在状态栏下。

TYPE_TOAST

在 API 级别 1 中添加

int TYPE_TOAST

窗口类型︰这些是瞬态的通知。在多用户系统中，它只显示在主用户的窗口。

常量值︰ 2005 (0x000007d5)

此窗口不属于浮动窗口，但它具有浮动窗口的功能，可以显示在最上面一层 (图 8)。

这种病毒保持显示顶部图层活动。如果不激活最上面一层，这种病毒会关闭并重新打开它 (图 9)。

当这种病毒获得管理员权限时，它改变了屏幕锁密码 (图 10)。

所有上面提到的方法中，病毒最频繁使用 TYPE_SYSTEM_ERROR 标志来锁定屏幕。第二个最常见的方法是上面的一层活动的循环显示。这两种方法的比例分别为 16%和 84%，如图 11 所示。

图 11。这种病毒最频繁使用 TYPE_SYSTEM_ERROR 标志以锁定屏幕。

您可以从锁定病毒保护您的移动设备︰

·不安装或打开来自未知来源的应用程序。

·不授予任何未知的应用程序管理员的特权。

·打开 USB 调试，将您的移动设备连接到一台电脑 — — 或通过其他方法在必要时删除它。

·另一个选择是向第三方恢复服务，如 TWRP 闪光。

这里有一些解决方案，以摆脱锁定病毒，如果感染您的移动设备︰

如果已经在手机上打开 USB 调试，您可以进行以下命令的计算机上删除锁定病毒︰

·进行 ‘pm 列出包-3′ 以查找病毒的包名称。

·进行 ‘卸载 pkg ‘ 以删除该病毒。

重新启动手机进入恢复模式，然后使用文件管理功能的第三方恢复工具删除中的 APK文件 ‘ / 数据/应用程序/pkg ‘。

如果您必须激活设备的管理员并打开 USB 调试，并且植根的电话，您可以强制删除病毒和存储在哪里屏幕解锁密码的文件。

su
rm –r /data/app/’pkg’ directory
rm /data/system/password.key
rm /data/system/gesture.key
reboot

【漏洞预警】手机上储存病毒的技术分析

来自猎豹移动安全研究实验室的安全专家发表了一个有趣的技术分析的移动变种的储存病毒。

TYPE_SYSTEM_ERROR

FLAG_FULLSCREEN | FLAG_LAYOUT_IN_SCREEN

TYPE_PHONE

TYPE_TOAST

Android系统新权限模型剖析与预警

移动安全引领新方向黑灰产也辐射万亿产业链

突发！！疑似12306 60w账户+410w联系人数据泄露

走进蒙面黑客的世界(专访杨卿)

【漏洞预警】Oracle WebLogic wls-wsat RCE CVE-2017-10271 & CVE-2017-3506

紫光云招聘安全研发、安全服务岗位

默安科技9月华北招聘专场

360政企安全集团华东安服事业部招聘

来自猎豹移动安全研究实验室的安全专家发表了一个有趣的技术分析的移动变种的储存病毒。

TYPE_SYSTEM_ERROR

FLAG_FULLSCREEN | FLAG_LAYOUT_IN_SCREEN

TYPE_PHONE

TYPE_TOAST

Android系统新权限模型剖析与预警

移动安全引领新方向 黑灰产也辐射万亿产业链

移动安全引领新方向黑灰产也辐射万亿产业链