第一章 Android平台勒索软件介绍

一、 勒索软件界说

手机勒索软件是一种通过锁住用户移动设备，使用户无法正常使用设备，并以此胁迫用户付出解锁用度的恶意软件。

二、勒索软件表示形式

1)  主要通过将手机触摸屏部分或虚拟按键的触摸反馈设置为无效，使触摸区域不响应触摸事件。

  

  

2)  频繁地强制置顶页面，造成手机无法正常切换应用措施。

3)   设置手机锁定PIN码，无法解锁进入手机系统。

  

  

三、 勒索软件的风险

1)  敲诈勒索用户财帛

2)  加密手机文件，粉碎用户数据

3)  断根手机应用，粉碎手机系统

四、 勒索软件历史演变

2013年06月Android.Fakedefender，仿冒杀毒软件打单用户手机存在恶意软件要求付费并且顶置付费提示框导致无法断根。

2014年05月Android.Koler，Android平台首个真正意义上的勒索样本。

2014年06月Android.Simplocker，首个文件加密并且操作洋葱网络的勒索样本。

2014年06月Android.TkLocker，360发明首个国内开玩笑锁屏样本。

2014年07月Android.Cokri，粉碎手机通讯录信息及来电成果的勒索样本。

2014年09月Android.Elite，断根手机数据并且群发短信的锁屏样本。

2015年05月Android.DevLocker，360发明国内呈现首个设置PIN码的勒索样本。

2015年09月Android.Lockerpin，国外呈现首个设置PIN码的勒索样本。 

第二章 Android平台勒索软件现状

一、 勒索类恶意样本传染量

截至2016年第一季度，勒索类恶意软件历史累计传染手机接近90万部，通过比拟2015到2016年季度传染变革趋势，可以看出2015年第三季度新增传染手机接近35万部。

二、勒索类恶意样本数量

截至2016年第一季度，共捕获勒索类恶意样本7.6万余个，通过比拟2015到2016年季度变革情况，可以看出国外勒索类恶意软件增长迅速，并且在2015年第三季度发生发火式增长，季度捕获量接近2.5万个；反不雅观国内勒索类恶意软件增长趋势，虽然没有发生发火式增长，但是却泛起出稳步上升的趋势。

三、 常见伪装东西

比拟国表里勒索类恶意软件最常伪装的软件名称可以看出，国外勒索类恶意软件最常伪装成色情视频、Adobe Flash Player和系统软件更新这类软件。而国内勒索类恶意软件最常伪装成神器、外挂及各类刷钻、刷赞、刷人气的软件，这类软件往往操作了人与人之间互相攀比的虚荣心和侥幸心理。

四、用户损掉估算

2015年全年国内赶过11.5万部用户手机被传染，2016年第一季度国内接近3万部用户手机被传染。每个勒索软件的解锁用度凡是为20、30、50元不等，凭据每位用户向敲诈者付出30元解锁用度计算，2015年国内用户因此遭受的损掉到达345万元，2016年第一季度国内用户因此遭受的损掉接近90万。

第三章 Android平台勒索软件技术道理

一、锁屏技术道理

1)  操作WindowManager.LayoutParams的flags属性

通过addView要领实现一个悬浮窗，设置WindowManager.LayoutParams的flags属性，例如，“FLAG_FULLSCREEN”、“FLAG_LAYOUT_IN_SCREEN”共同“SYSTEM_ALERT_WINDOW”的权限，使这个悬浮窗全屏置顶且无法断根，造成手机屏幕锁屏无法正常使用。

2)  操作Activity劫持