本發明提出一種安卓系統下勒索應用檢測系統及方法，包括：行為觸發模塊，用于觸發應用程序、激活設備管理器；行為監控模塊，用于應用程序被觸發后動態獲取系統中的執行信息；勒索應用判定模塊，用于根據執行信息判定系統中是否存在勒索應用。本發明通過行為觸發及動態監控實現對勒索應用的有效檢測，具備較高準確性，且通過黑名單的維護為后續檢測及深度分析提供基礎。

技術領域

本發明涉及信息安全技術領域，尤其涉及一種安卓系統下勒索應用檢測系統及方法。

背景技術

隨著移動終端的發展，各種新的應用給用戶帶來樂趣和便利，但一些惡意應用也在影響用戶的使用，甚至給用戶造成財產損失。有一類惡意應用為手機勒索應用，這類應用使用戶的移動設備不能正常使用，并要求用戶支付一定費用來解鎖設備。

手機勒索應用在設備上的主要現象有返回和HOME等按鍵失效、頻繁置頂窗口無法切換到正常應用、設置鎖屏密碼其用戶無法解鎖等，且重啟后勒索應用仍會自動運行。另外手機勒索應用會在置頂窗口的視圖文本中顯示一些文字信息，主要是聯系方式或支付方法，例如QQ號、郵箱、解鎖密碼、購買等字樣，用于受害者聯系并支付解鎖費用。

上述幾種勒索方式的實現方法大致如下：

1.應用窗口全屏，部分按鍵無效。Android應用的每個Activity組件都關聯一個窗口，窗口中有視圖用于實現UI和布局，該方法主要是通過設置窗口中視圖的布局的類型實現視圖總顯示在其他所有窗口的上面，另外通過設置視圖屬性實現全屏顯示；

2.頻繁置頂窗口，導致無法正常切換應用。該方法主要是通過檢測當前置頂的Activity是否為勒索軟件自身的Activity，如果不是就會啟動勒索軟件自身的Activity；

3.手機設置鎖屏密碼。應用需要激活設備管理器，申請設置鎖屏密碼的權限，然后通過設置新的鎖屏密碼并鎖屏，達到鎖住手機屏幕的目的。通常鎖屏后勒索應用會創建一個懸浮窗口里面包含聯系方式等文本信息。

發明內容

針對上述現有技術中存在的威脅隱患，本發明提出一種安卓系統下勒索應用檢測系統及方法，當有應用程序安裝到系統中后，觸發新安裝的應用程序；動態獲取系統中的執行信息；根據執行信息判定系統中是否存在勒索應用。

具體發明內容包括：

一種安卓系統下勒索應用檢測系統，包括：

行為觸發模塊，用于觸發應用程序、激活設備管理器；

行為監控模塊，用于應用程序被觸發后動態獲取應用的執行信息；所述執行信息包括：行為信息、布局類型信息、視圖屬性信息、視圖文本信息；

勒索應用判定模塊，用于根據執行信息判定系統中是否存在勒索應用。

進一步地，所述勒索應用判定模塊，其判定規則包括：根據執行信息中的布局類型信息及視圖屬性信息，判斷新安裝的應用程序是否存在強制應用窗口全屏的行為，若是則視為相應的新安裝應用程序為勒索應用；

或者，根據新安裝應用程序的行為信息，判斷新安裝的應用程序在規定時間內是否存在設置鎖屏密碼和/或鎖屏的行為，若是則視為相應的新安裝應用程序為勒索應用，否則執行其他判定規則。

進一步地，所述行為觸發模塊具體用于：當有應用程序安裝到系統中后，觸發新安裝的應用程序，獲取系統中頂層Activity窗口，判斷活動行為是否為請求啟動設備管理器，若是，則激活設備管理器；否則按規定觸發系統中其他應用程序的Activity；有些勒索行為，例如設置鎖屏密碼等，需要激活設備管理器才能實現，而應用窗口全屏和頻繁置頂窗口等行為則不需要啟動設備管理器，但是為了判斷其是否有相應的行為，則需要啟動其他應用程序的Activity來進行驗證。