标签: Android

卡巴斯基:色情诱导恶意软件 去年安卓用户成重灾区

俄罗斯安全公司卡巴斯基实验室本周三发布的一份安全报告称,去年谷歌安卓系统用户中至少有 120 万人遭遇到了色情内容相关的恶意软件,这是安卓设备上感染恶意软件用户总数 490 万人的四分之一。 使用色情内容吸引不知情的受害者点击恶意软件是一个普遍的伎俩,一个黑客团伙使用虚构色情应用在 2017 年在 100 万个安卓手机中盗取了约 89.2 万美元的总额,9 万个机器人构成的僵尸网络在推特中散布色情垃圾信息。卡巴斯基实验室的研究人员称他们几乎在成人网络内容诞生的第一天就看到色情内容,被作为散播恶意软件的诱饵。 在桌面的,卡巴斯基研究者发现色情相关恶意软件感染约 30 万次,比起移动设备发生的相关感染来说非常苍白。研究团队发现了网络上有 23 种针对安卓设备的不同的恶意软件,他们都非常依赖以色情内容作为诱饵。包括勒索病毒、木马等。谷歌拒绝就此置评,因为卡巴斯基的这项结论并未包括任何苹果 iOS 系统设备。 稿源:cnBeta.COM,封面源自网络

专供政府情报收集:黑客出售黎巴嫩间谍软件平台 Dark Caracal

外媒 1 月 19 日消息,电子前沿基金会 Frontier Foundation 和 安全公司 Lookout 联合调查发现与黎巴嫩总安全局有关的监控间谍活动 Dark Caracal APT 从世界各地的 Android 手机和 Windows PC 中窃取大量数据,并且最近有黑客组织将 Dark Caracal 间谍软件平台出售给某些国家用来监听。据悉,该间谍活动通过制造大量虚假 Android 应用程序并利用社交工程(如钓鱼邮件或虚假的社交网络信息)来传播含有木马的恶意软件,过去的六年里已牵涉到来自 21 个国家的记者、军事人员、公司和其他目标的敏感信息(短信、通话记录、档案等)。 Lookout 发表的一份报告中详细分析了 Dark Caracal: Dark Caracal 实施的攻击链主要依靠社交工程,比如黑客在虚假应用程序(如 Signal 和 WhatsApp )中包含定制的 Android 恶意软件,从而达到向受害用户发送恶意信息的目的。 Dark Caracal 影响范围 Lookout 透露,其研究人员发现了一个名为 Pallas 的定制型恶意软件,可能是 Dark Caracal 间谍活动工具包中的一个重要组件。Pallas 被用来劫持目标智能手机,并通过出租给政府的 Dark Caracal 平台进行分发和控制。目前获取 Pallas 的主要方法是从非官方软件应用商店安装受感染的应用程序,比如 WhatsApp 和 Signal ripoffs 。不过 Pallas 并没有利用 ” 零日” 来接管设备,而是依靠欺骗用户安装恶意应用程序,授予恶意软件各种权限。一旦 Pallas 到位,就可以秘密地从手机的麦克风中录制音频、 揭露 gizmo 的位置给监视者、并将手机所包含的所有数据泄露给黑客。 此外,Dark Caracal 平台还提供了另一种监视工具 ——FinFisher 样本,它被出售给政府,用于监视公民。而在桌面端,Dark Caracal 提供了一个 delphil 编码的 Bandook 木马,该木马之前在 Manul 操作系统中已被识别,可以有效地征用  Windows 系统。 Lookout 表示目前正在试图寻找 Dark Caracal 背后的黑客组织,并预计今年夏天调查会有进展。 相关阅读: 关于 Dark Caracal 的相关报告 消息来源:TheRegister,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

卡巴斯基:安卓恶意软件 Skygofree 监控能力前所未有

 1 月 17 日凌晨消息,近期,网络安全问题日益突出,恶意软件开发者们也不断竞争,有研究人员发现了一个新的 Android 监视平台,监视内容包括基于位置的录音信息,该平台还拥有其他以前未曾见过的功能。 根据卡巴斯基实验室于周二公布的一份报告,“ Skygofree ” 很有可能是一个具有侵略性的安全类软件,该软件是由一家位于意大利的专门售卖监控软件的公司出售的。该软件自 2014 年开始一直持续在进行开发。它依赖于五个不同的技术来获得特权访问权限,可以绕过 Android 自身的安全机制。Skygofree 可以从设备的存储芯片中获取通话记录、文字短信、位置信息、日程活动、和一些与商业相关的信息,还能获取拍照和录像的权限。 Skygofree 还具有这样一个功能,当用于处在特定的位置时就自动开启受攻击手机的录音功能,能记录对话和环境噪声。还有一个新功能,那就是通过滥用 Android 系统给残障人士提供的辅助工具来偷取用户的 WhatsApp 聊天记录。另一个功能就是能使受攻击手机连接由攻击者控制的无线局域网。 卡巴斯基的研究员在报告中写道:“ Skygofree Android 应用程序是我们见过的最强大的监控软件之一。经过多次迭代开发,它具有了很多的功能。” 该报告称此恶意软件已经感染了很多意大利的 Android 手机用户。该恶意软件是通过伪造虚假网站来传播的。 稿源: 新浪科技,封面源自网络;

Android P 突然变脸:允许运营商屏蔽信号数字强度 dBm

通常,我们了解手机信号的好坏借助的是状态栏的阶梯状图标。在 iOS 11 之前,苹果还曾用过点状,但现在因为刘海屏对顶栏空间的侵占,又改回去了。当然,在安卓手机上,借助三方工具或者很多个性化的 ROM,信号的展示也有了很多彩的形式。 不过,要更科学地查看信号强度或者在不同手机之间比较的话,最直观、准确的方式是看 dBm(1毫瓦的分贝数)和 asu(alone signal unit 独立信号单元)的数值。 安卓原生将这一数据放在 SIM 卡状态中,当然,一些国产 ROM 的入口会有所区别。还有一些颇有极客范的朋友,甚至借助 CM、MIUI 等系统,以 dbm 数值取代信号图标在状态栏展示。 由于各厂商在数值对应信号格子数的定义划分不同,dbm 可以视为一种更准确地横向比较手段。 然而,XDA Dev 报道称,AOSP(Android Open Source Project)最新版本的代码显示,谷歌将允许运营商今后隐藏掉信号强度数值。不过,这一调整没有从底层关掉 API,意味着三方 APP 仍可以获取,比如 Wi-Fi 分析仪、LTE Discovery 等。因为是最近才刚刚出现,XDA 倾向于认为这项特性会在明年的 Android P(安卓9.0)上启用,至于为什么突然这样做,还不得而知。 备注:一般而言,当 dbm>=-90,asu>=10 信号算比较正常的。 稿源:cnBeta、快科技,封面源自网络;

新型恶意软件 Catelites Bot:伪装 2200 多家银行 APP 登录界面进行“屏幕覆盖攻击”

据外媒 12 月 20 日报道,捷克软件公司 Avast 近日发现,一款新型 Android 恶意软件 Catelites Bot 伪装成 2200 多家银行(包括桑坦德银行和巴克莱银行等)应用软件,利用“屏幕覆盖攻击”窃取用户银行账户与密码信息。 Avast  在其博文中指出,Catelites Bot 与一款由俄罗斯网络黑帮发布的 CronBot 有一些相似之处, 因此研究人员认为 Catelites Bot 也可能与该黑帮有关联。 据报道,该网络黑帮近期已被警方捣毁,曾利用 “ CronBot ” 木马感染了超过 100 万用户,盗取金额达 90 万美元。 虽然没有任何证据表明恶意软件 Catelites Bot 的开发者与 CronBot 有关联,但目前该恶意开发者可能已经掌握了 CronBot 的相关技术并将其用于自己的攻击活动中。 Catelites Bot 攻击方式 研究人员透露,Catelites Bot 主要通过第三方应用程序商店进行传播。近几个月来,几乎每周都有“虚假应用程序”攻击 Android 设备的案例。恶意软件 Catelites Bot 首先会尝试获取管理员权限,然后自动并交互式地从 Google Play 商店中提取其他 Android 银行应用程序的图标和名称,之后再利用“屏幕覆盖攻击”——即伪造的银行 APP 登录界面覆盖其他正规应用程序的方式来欺骗用户,以便于获取用户名、密码和信用卡信息。(“屏幕覆盖攻击”的典型代表,编者注) 虽然伪造的登录界面和真实的应用程序界面不完全相同,但黑客能够通过广撒网的方式达到目的。通常情况下,新 Android 用户可能更容易受骗上当。 “目前为止, Catelites Bot 恶意软件主要针对的是俄罗斯用户群体,它还处于一个早期测试阶段,或将扩散至全球更大范围,就统计结果显示目前至少有 9000名用户设备受到感染 ” 研究人员表示。 此外,Avast 和 SfyLabs 团队发现恶意软件 Catelites Bot 还有一些尚未激活的功能,如文本拦截(通常需要访问双重验证码)、擦除设备数据、锁定智能手机、访问电话号码、查看消息对话、强制密码解锁、甚至更改扬声器音量等。 研究人员建议,由于 Catelites Bot 是通过非官方渠道传播的,因此对用户而言将手机设置为仅接受来自官方应用商店(如 Google Play)的应用下载非常重要。同时,通过确认程序界面来检查银行应用是否被覆盖也是预防恶意软件攻击的必要措施。 消息来源: IBTimes,编译:榆榆,校审:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

预警 | Android 高危漏洞可被绕过签名验证机制、注入恶意代码替换合法 APP

据外媒报道,谷歌上周修补了四十多个安全漏洞,其中一个高危漏洞允许黑客绕过签名验证机制向 Android 应用程序注入恶意代码,以便恶意版本能够覆盖智能手机上的合法应用程序。目前,有数以百万计的 Android 设备面临着漏洞造成的严重风险。 这个被称为 Janus 的漏洞由 GuardSquare 公司首席技术官 Eric Lafortune 在今年夏季发现,他于 7 月份向谷歌报告了这个漏洞 ( cve -2017- 13156 ),谷歌 12 月初发布的 Android 安全公告中显示,该漏洞在上周四已被修补。 Android Janus 漏洞工作方式 研究显示,这个漏洞驻留在 Android 系统为一些应用程序处理 APK 安装的方式中,使得开发者可在 APK 文件中添加额外的字节代码而不影响应用程序的签名。通过研究发现,由于缺少文件完整性检查,这种添加额外字节的代码的情况将允许黑客以 DEX 格式编译的恶意代码添加到包含具备有效签名的合法 APK 中,以便在目标设备上执行恶意代码而不被发现,便于欺骗程序安装过程。换句话说,黑客并不需要修改合法应用程序本身的代码(使签名无效),而是利用这个漏洞向原始应用程序添加一些额外的恶意代码行即可。 当用户下载应用程序的更新时,Android 会在运行时将其签名与原始版本的签名进行比较。如果签名匹配,Android 系统将继续安装更新程序,更新后的应用程序继承原始应用程序的权限。因此,一旦安装了受感染的应用程序,黑客将拥有与原应用程序相同的系统权限。这意味着黑客可能窃取银行证书、读取消息或进一步感染目标设备。 攻击场景 黑客可以使用各种媒介(如垃圾邮件、提供虚假应用程序和更新的第三方应用程序商店、社会工程,甚至是中间人攻击)传播包含恶意代码的“合法的应用程序”。GuardSquare 公司表示,从银行应用程序、游戏到 Google 地图等都可能成为 Janus 漏洞利用者的目标。此外,从第三方应用程序商店下载的 Android APKs,比如社交媒体或者系统应用程序等也可能成为攻击目标。 修补方式 虽然目前谷歌已经修补了 Janus 漏洞,但在设备制造商(OEM)为其发布自定义更新之前,大多数 Android 用户的系统漏洞都将无法获得修复,显然大量智能手机用户还是很容易受到黑客的攻击。 GuardSquare 称,受影响的是运行比 Nougat(7.0)更早的 Android 操作系统版本以及任何支持 APK 签名方案 v1 的   Android 设备。由于此漏洞不会影响支持 APK 签名方案版本 2 的 Android 7( Nougat )和最新版本,因此强烈建议运行较旧 Android 版本的用户升级其设备操作系统。但如果你的设备制造商既没有提供安全补丁,也没有最新的  Android 版本,那么你就应该时刻保持警惕,尽量不要在谷歌的 Play Store 之外安装应用程序和更新,以最大限度地降低被黑客攻击的风险。 此外,GuardSquare 还建议,为了安全起见 Android 开发人员需要应用签名方案 v2,以确保他们的应用程序不能被篡改。 消息来源:thehackernews、threatpost,编译:榆榆 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。      

朝鲜 APT 组织 Lazarus 或利用安卓恶意软件针对韩国三星用户展开新一轮网络攻击

据外媒 11 月 22 日报道,网络安全公司 McAfee 与 Palo Alto Networks 研究人员近期发现朝鲜 APT 组织 Lazarus 似乎开始利用一款 Android 恶意软件针对韩国三星用户展开新一轮网络攻击。 Lazarus(音译 “ 拉撒路 ”)堪称全球金融机构首要威胁。该组织自 2009 年以来一直处于活跃状态,据推测早在 2007 年就已涉足摧毁数据及破坏系统的网络间谍活动。调查显示,黑客组织 Lazarus 与 2014 年索尼影业遭黑客攻击事件及 2016 年孟加拉国银行数据泄露事件有关。 调查显示,该恶意软件主要附着在一款用于阅读韩文圣经的合法 APK 中并由开发人员 GODpeople 在 Google Play 发布。截至目前,该应用已被下载 1300 多次。McAfee 经分析表示,其恶意软件主要为可执行与可链接格式(ELF)文件提供一个后门,允许攻击者完全控制受害设备。另外,该后门程序所使用的命令与控制(C&C)服务器列表与黑客组织 Lazarus 此前使用的 IP 地址有关。   Palo Alto Networks 安全专家指出,此次活动似乎主要针对韩国三星用户展开攻击,并与此前 Lazarus 开展的 “ Operation Blockbuster” 活动存有潜在联系,例如:所使用的 Payload、恶意软件代码,以及托管的合法 APK 都极其相似等。随后,Unit 42 安全专家对上传到 VirusTotal 的 PE 文件分析后发现,这一文件被用于从 HTTP 服务器传送  ELF ARM 和 APK 文件,从而感染更多设备后允许攻击者展开大规模攻击活动。 目前,Palo Alto Networks 由证据表示,该恶意软件代码与 Lazarus 对 SWIFT 银行系统和 Operation Blockbuster 攻击活动所使用的有效负载具有重叠部分,因此这似乎意味着该组织持续使用同一系列的黑客工具展开攻击活动。对此,他们推测 Lazarus 似乎正忙于全球业务的扩张发展。 更多阅读: 来自 McAfee 的分析报告 <Lazarus Cybercrime Group Moves to Mobile Platform> 消息来源:securityaffairs.co ,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Google 可在 Android 用户禁用位置服务时收集设备位置信息

许多用户意识到智能手机可以跟踪他们的位置,即便用户主动关闭位置服务,没有使用任何应用程序,甚至没有插入运营商 SIM 卡等预防措施,也不能阻止运行 Android 操作系统的手机收集用户位置数据,并在连接到互联网时将其发送回 Google。 自 2017 年初以来,Android 手机一直在收集附近蜂窝塔的地址(即使在停用位置服务时),并将这些数据发送回 Google。其结果是,谷歌和其母公司字母公司可以访问有关个人的位置和他们的运动数据,远远超出了消费者的合理隐私期望。Google 现今承认的确存在这种做法。根据谷歌发言人的说法,在过去 11 个月里,谷歌用来管理 Android 手机上推送通知和消息的系统中包含了手机地址。不过,这些信息从未被使用,也没有被储存起来,公司现在正在采取措施,终止这种做法。 该公司表示,到 11 月底,Android 手机将不再向 Google 发送手机定位数据,但是,至少作为该特定服务的一部分,消费者无法禁用这一功能。Google 发言人在一封电子邮件中表示:“今年一月,我们开始考虑使用 Cell ID 代码作为进一步提高消息传递速度和性能的额外信号。 但我们从未将 Cell ID 纳入我们的网络同步系统,因此数据立即被丢弃。此外,我们已经更新服务,它不再请求 Cell ID。” 稿源:cnBeta,封面源自网络;

Android MediaProjection 服务被曝高危漏洞,允许黑客窃听系统音频、截取设备信息

据外媒 11 月 20 日报道,网络安全公司 MWR 的研究团队近期发现 Android MediaProjection 服务存在一处高危漏洞,允许黑客窃听系统音频、截取用户屏幕等敏感信息。目前,运行 Lolipop、Marshmallow 和  Nougat 应用的 Android 设备普遍遭受影响(约占所有 Android 设备的 77.5%)。 MediaProjection 是一项允许应用程序捕获屏幕、记录系统音频的服务,其自推出以来就存在于 Android 系统当中。不过,要想使用这一服务功能,其应用程序需要在线发出请求后通过 SystemUI 弹出窗口获取 root 访问权限,并使用设备的系统密钥进行签名。据悉,虽然 MediaProjection 早期仅供 Android OEM 开发的系统级应用程序使用,但随着 Android Lolipop(5.0)的发布,Google 向所有应用开放了这项服务。 调查显示,此漏洞的根源在于易受攻击的 Android 设备不能检测部分隐藏的 SystemUI 弹出窗口机制,即攻击者可以在开发一款应用程序时覆盖 SystemUI 的弹出,从而绕过安全检测。一旦用户点击已被覆盖的页面后攻击者即可获取 root (包括捕获用户屏幕和音频的)权限。研究人员强调,黑客利用该漏洞开展攻击时并非完全无法察觉。如果一款应用访问 MediaProjection 服务时,它会在生成一个虚拟显示,从而自动激活通知栏中的截图图标后获取用户信息。如下图所示: 目前,Google 仅在 Android Oreo Android Oreo(8.0)版本中修补了漏洞,但旧版本仍受到该问题的影响。另外,尚不清楚 Google 是否计划针对较早受影响的 Android 版本进行修复,对此研究人员提醒用户尽快更新设备或通过应用程序的 WindowManager 中启用 FLAG_SECURE 参数,以便确保应用程序的界面安全。 消息来源:securityaffairs.co ,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

诺基亚:Android 设备是 2017 年恶意软件的主要目标

诺基亚最近推出了 NetGuard 安全管理中心软件,旨在帮助服务提供商检测并保护系统免受勒索软件和其他恶意程序日益增长的威胁。作为这一举措的一部分,该公司还发布了 “ 2017 年度威胁情报报告 ”,该报告考察了网络通信中恶意软件行为。 根据这项研究,智能手机占所有移动网络感染的 72%。它还显示,2017 年 Android 设备感染率达到 69%。诺基亚表示,在智能手机领域,绝大多数的恶意软件目前都是作为 Trojan 化应用程序进行分发的。用户被网络钓鱼,广告或其他社交工程欺骗,下载和安装应用程序。 Android 平台有针对性的主要原因是,一旦启用了侧载,Android 应用程序就可以从任何地方下载。该平台还录到了每月 0.94% 的感染率。诺基亚表示,尽管 Google 努力阻止恶意软件进入用户手机,但是可以通过短信和电子邮件安装恶意软件。第三方商店的存在也起着重要作用,与官方应用商店相比,这些位于中国的第三方商店更受欢迎。 诺基亚这份报告显示,Windows 设备覆盖了一小部分,仅观察到 28% 的恶意软件感染率。诺基亚承认,Windows 设备感染率最终转向智能手机,因为它现在正在成为访问互联网的首选方法。另外,这份报告也显示,iOS 和其他设备覆盖了 3.54% 的感染率。 情报报告还提到了 WannaCry 的惨败。根据该公司的调查结果,WannaCry 勒索软件造成史上规模最大的勒索攻击事件,在 150 个国家感染超过 23 万台电脑。诺基亚表示,要不是安全人员发现了一个可以完全关闭 WannaCry 影响的 DNS 地址,WannaCry 勒索软件造成的伤害可能要大得多。这个 DNS 地址有效地关闭了恶意软件,并阻止了恶意软件的蔓延。 稿源:cnBeta,封面源自网络;