[发明专利]一种安卓系统下勒索应用检测系统及方法

说明书

本发明提出一种安卓系统下勒索应用检测系统及方法，包括：行为触发模块，用于触发应用程序、激活设备管理器；行为监控模块，用于应用程序被触发后动态获取系统中的执行信息；勒索应用判定模块，用于根据执行信息判定系统中是否存在勒索应用。本发明通过行为触发及动态监控实现对勒索应用的有效检测，具备较高准确性，且通过黑名单的维护为后续检测及深度分析提供基础。

技术领域

本发明涉及信息安全技术领域，尤其涉及一种安卓系统下勒索应用检测系统及方法。

背景技术

随着移动终端的发展，各种新的应用给用户带来乐趣和便利，但一些恶意应用也在影响用户的使用，甚至给用户造成财产损失。有一类恶意应用为手机勒索应用，这类应用使用户的移动设备不能正常使用，并要求用户支付一定费用来解锁设备。

手机勒索应用在设备上的主要现象有返回和HOME等按键失效、频繁置顶窗口无法切换到正常应用、设置锁屏密码其用户无法解锁等，且重启后勒索应用仍会自动运行。另外手机勒索应用会在置顶窗口的视图文本中显示一些文字信息，主要是联系方式或支付方法，例如QQ号、邮箱、解锁密码、购买等字样，用于受害者联系并支付解锁费用。

上述几种勒索方式的实现方法大致如下：

1.应用窗口全屏，部分按键无效。Android应用的每个Activity组件都关联一个窗口，窗口中有视图用于实现UI和布局，该方法主要是通过设置窗口中视图的布局的类型实现视图总显示在其他所有窗口的上面，另外通过设置视图属性实现全屏显示；

2.频繁置顶窗口，导致无法正常切换应用。该方法主要是通过检测当前置顶的Activity是否为勒索软件自身的Activity，如果不是就会启动勒索软件自身的Activity；

3.手机设置锁屏密码。应用需要激活设备管理器，申请设置锁屏密码的权限，然后通过设置新的锁屏密码并锁屏，达到锁住手机屏幕的目的。通常锁屏后勒索应用会创建一个悬浮窗口里面包含联系方式等文本信息。

发明内容

针对上述现有技术中存在的威胁隐患，本发明提出一种安卓系统下勒索应用检测系统及方法，当有应用程序安装到系统中后，触发新安装的应用程序；动态获取系统中的执行信息；根据执行信息判定系统中是否存在勒索应用。

具体发明内容包括：

一种安卓系统下勒索应用检测系统，包括：

行为触发模块，用于触发应用程序、激活设备管理器；

行为监控模块，用于应用程序被触发后动态获取应用的执行信息；所述执行信息包括：行为信息、布局类型信息、视图属性信息、视图文本信息；

勒索应用判定模块，用于根据执行信息判定系统中是否存在勒索应用。

进一步地，所述勒索应用判定模块，其判定规则包括：根据执行信息中的布局类型信息及视图属性信息，判断新安装的应用程序是否存在强制应用窗口全屏的行为，若是则视为相应的新安装应用程序为勒索应用；

或者，根据新安装应用程序的行为信息，判断新安装的应用程序在规定时间内是否存在设置锁屏密码和/或锁屏的行为，若是则视为相应的新安装应用程序为勒索应用，否则执行其他判定规则。

进一步地，所述行为触发模块具体用于：当有应用程序安装到系统中后，触发新安装的应用程序，获取系统中顶层Activity窗口，判断活动行为是否为请求启动设备管理器，若是，则激活设备管理器；否则按规定触发系统中其他应用程序的Activity；有些勒索行为，例如设置锁屏密码等，需要激活设备管理器才能实现，而应用窗口全屏和频繁置顶窗口等行为则不需要启动设备管理器，但是为了判断其是否有相应的行为，则需要启动其他应用程序的Activity来进行验证。