标签: Google Play

与朝鲜有关的黑客使用谷歌Play商店中的恶意软件追踪脱北者

据外媒Techspot报道, 谷歌Play商店此前曾出现一些看似合法却包含恶意软件的的应用程序并不陌生,但McAfee的研究人员发现了一些与以前不同的内容:针对特定个人的三种恶意应用程序。该安全组织表示,一个与朝鲜有关的小组上传了这些应用程序,这些应用程序旨在渗透属于脱北者的Android设备。 虽然“朝鲜黑客”通常指臭名昭著Lazarus Group,但此次的攻击者是 Sun Team。该组织参加了名为RedDawn的活动,该广告活动在恶意软件加载应用程序被添加到谷歌Play商店之前,曾试图吸引“叛逃者”下载软件。 今年1月至3月间,这三款应用出现在谷歌Play商店中。其中一个称为 Food Ingredients Info的应用提供了有关食物成分的信息。另外两个应用——Fast AppLock 和Fast AppLockFree则是安全工具。这三款应用都能够窃取那些下载应用的用户的个人数据,这些数据可能被用来勒索,威胁或追踪受害者; 这些信息包括用户的照片、联系人、通话记录和短信等。 “感染设备后,恶意软件使用Dropbox和Yandex上传数据并发布命令,包括其他插件dex文件;这与早期的Sun Team攻击类似,”McAfee的Jaewon Min写道。“从这些云存储站点,我们发现了Sun Team用于我们1月份报告的恶意软件活动的相同测试Android设备的信息日志。日志具有类似的格式,并使用与其他Sun Team日志相同的缩略字段。此外,新恶意软件者的电子邮件地址与早先与Sun Team相关的电子邮件地址相同。” Sun Team试图让朝鲜叛逃者(其中2016年有超过30,000人)通过使用虚假的Facebook个人资料或通过该发送直接私人消息来下载应用程序。在韩国流行的聊天应用程序KakaoTalk也被用来发送链接到目标。 目前已被删除的应用程序在谷歌 Play商店中大约被下载了100次。据报道,Sun Team设置的两个虚假的Facebook个人资料仍然活跃。将攻击与朝鲜联系在一起的进一步证据包括在测试日志文件中找到的属于该国的IP地址,以及作者使用韩语“不在韩国语词汇中”的事实。   稿源:cnBeta,封面源自网络;

Google 表示 2017 年 60.3% 的恶意 Android 应用程序是通过机器学习检测

Google 今天发布了 Android Security 2017 年度回顾报告,这是该公司第四批试图向公众宣传Android各种安全层面及其缺陷的尝试。报告中最有趣的一个学习是通过机器学习检测到 60.3% 的潜在有害应用(PHA)。该检测是通过名为 Google Play Protect 的服务完成的,该服务在超过 20 亿台设备(运行 Android 4.3 及更高版本)上启用,以不断扫描 Android 应用程序的恶意活动。 Play Protect 使用各种策略来保护用户及其数据的安全,但机器学习在帮助抓住 PHA 方面特别有效。 谷歌今年早些时候分享的数据显示,2017 年因违反应用商店政策(同比增长 70%)而从 Google Play 中移除了超过 70 万个应用,该公司称其实施了机器学习模型和技术来检测应用程序内容和行为的滥用行为,如模仿,不适当的内容或恶意软件。 但该公司并未分享任何细节。现在我们了解到,每10次检测中就有6次是机器学习。Play Protect 每天都会自动审核超过 500 亿个应用 – 去年这些自动审核导致去除了近 3900 万个 PHA。Play Protect 每天至少自动检查 Android 设备上的 PHA 一次。 直到最近,Play 保护所需设备联机才能进行。当 Google 发现当设备处于脱机状态或网络连接丢失时,近 35% 的新 PHA 安装正在进行,它转而开发一项新功能来解决该问题。 2017  年 10 月,Play Protect 获得了离线扫描功能,该功能已经阻止了 1000 万次 PHA 安装。 稿源:cnBeta,封面源自网络;

Google Play 34 款 APP 存安全漏洞,个别或影响工业安全

两名安全研究人员 Alexander Bolshev 和 Ivan Yushkevich 去年从 Google Play 里随机选择了 34 款企业应用进行研究,应用的开发商包括工业控制系统供应商西门子和施耐德电气。他们从应用里发现了 147 个安全漏洞。研究人员没有披露哪家公司的情况最严重,也没有披露存在漏洞的具体应用。 研究人员表示只有两个应用没有发现漏洞。他们发现的一些漏洞允许黑客干扰应用与机器或关联进程之间的数据流。举例来说,通过干扰数据,工程师可能会误以为实际已过热的机器仍然运行在安全温度阈值内。 另一个漏洞允许攻击者在移动设备上植入恶意代码,向控制机器的服务器发出恶意指令。严重的话可能会造成流水线的混乱或导致炼油厂发生爆炸。这只是极端的假设。研究人员表示他们已经联系了相关企业,其中一些已经修复漏洞,另一些则没有回应。 稿源:cnBeta、solidot,封面源自网络。

首款采用 Kotlin 语言编写的恶意应用程序实现短信欺诈

外媒 1 月 9 日消息,趋势科技近期于 Google Play 商店发现了首款使用 Kotlin 语言编写的恶意应用程序 Swift Cleaner。据研究人员介绍,该恶意软件被描述成用于清理和优化 Android 设备的工具,但实际上该软件能够执行远程命令、窃取信息、短信发送、URL 转发和点击欺诈。最重要的一点是,在未经许可的情况下自动为用户订阅收费短信服务。截至研究人员发现时,该恶意应用程序 下载安装数量已达 5000 次。 图1. Swift Cleaner,伪装成 Android 清洁应用程序的恶意应用程序 Google 于 2017 年 5 月称 Kotlin 是编写 Android 应用程序的一流语言。自 Kotlin 发布以来,17% 的 Android Studio 项目开始使用其编程,例如 Twitter,Pinterest 和 Netflix 都是使用 Kotlin 开发的应用程序。Kotlin 非常简洁,极大程度的减少了样板代码的数量,并且非常安全。 图2. 使用 Kotlin 开发的恶意应用程序的封装结构 恶意软件工作原理 启动 Swift Cleaner 后,恶意软件会将用户的设备信息发送到其远程服务器,并启动后台服务以从其远程 C&C 服务器获取攻击任务。当设备第一次被感染时,恶意软件会将短信发送到 C&C 服务器提供的指定号码。 图3.恶意应用程序通过短信收集并发送受害者的设备信息 恶意软件收到 SMS 命令后,远程服务器将执行 URL 转发并点击广告欺诈。 在其点击欺诈例程中,恶意软件会收到执行无线应用协议(WAP)任务的远程命令。 在此之后,将注入恶意的 Javascript 代码替换正则表达式。据悉,这是一系列定义搜索模式的字符,允许恶意行为者在特定的搜索字符串中解析广告的 HTML 代码。随后,恶意软件会秘密打开设备的移动数据,解析图像 base64 代码,破解 CAPTCHA ,并将完成的任务发送至远程服务器。 图4.恶意应用程序上传将用于订阅高级短信订阅服务的令牌 此外,恶意软件还可以将用户服务提供商的信息以及登录信息和验证码图片上传到 C&C 服务器。一旦上传,C&C 服务器就会自动处理用户的高级短息服务服务订阅,从而进行流量欺诈。 目前趋势科技称其已向 Google 披露了该恶意软件, Google Play Protect 也设置了保护措施来避免用户收到侵害。 更多详细内容可查看 Trend Micro 分析报告原文: <First Kotlin-Developed Malicious App Signs Users Up for Premium SMS Services> 消息来源:TrendmMicro,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

新型恶意软件 Catelites Bot:伪装 2200 多家银行 APP 登录界面进行“屏幕覆盖攻击”

据外媒 12 月 20 日报道,捷克软件公司 Avast 近日发现,一款新型 Android 恶意软件 Catelites Bot 伪装成 2200 多家银行(包括桑坦德银行和巴克莱银行等)应用软件,利用“屏幕覆盖攻击”窃取用户银行账户与密码信息。 Avast  在其博文中指出,Catelites Bot 与一款由俄罗斯网络黑帮发布的 CronBot 有一些相似之处, 因此研究人员认为 Catelites Bot 也可能与该黑帮有关联。 据报道,该网络黑帮近期已被警方捣毁,曾利用 “ CronBot ” 木马感染了超过 100 万用户,盗取金额达 90 万美元。 虽然没有任何证据表明恶意软件 Catelites Bot 的开发者与 CronBot 有关联,但目前该恶意开发者可能已经掌握了 CronBot 的相关技术并将其用于自己的攻击活动中。 Catelites Bot 攻击方式 研究人员透露,Catelites Bot 主要通过第三方应用程序商店进行传播。近几个月来,几乎每周都有“虚假应用程序”攻击 Android 设备的案例。恶意软件 Catelites Bot 首先会尝试获取管理员权限,然后自动并交互式地从 Google Play 商店中提取其他 Android 银行应用程序的图标和名称,之后再利用“屏幕覆盖攻击”——即伪造的银行 APP 登录界面覆盖其他正规应用程序的方式来欺骗用户,以便于获取用户名、密码和信用卡信息。(“屏幕覆盖攻击”的典型代表,编者注) 虽然伪造的登录界面和真实的应用程序界面不完全相同,但黑客能够通过广撒网的方式达到目的。通常情况下,新 Android 用户可能更容易受骗上当。 “目前为止, Catelites Bot 恶意软件主要针对的是俄罗斯用户群体,它还处于一个早期测试阶段,或将扩散至全球更大范围,就统计结果显示目前至少有 9000名用户设备受到感染 ” 研究人员表示。 此外,Avast 和 SfyLabs 团队发现恶意软件 Catelites Bot 还有一些尚未激活的功能,如文本拦截(通常需要访问双重验证码)、擦除设备数据、锁定智能手机、访问电话号码、查看消息对话、强制密码解锁、甚至更改扬声器音量等。 研究人员建议,由于 Catelites Bot 是通过非官方渠道传播的,因此对用户而言将手机设置为仅接受来自官方应用商店(如 Google Play)的应用下载非常重要。同时,通过确认程序界面来检查银行应用是否被覆盖也是预防恶意软件攻击的必要措施。 消息来源: IBTimes,编译:榆榆,校审:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

Google Play 官方市场再次发现恶意程序 Android.Sockbot

赛门铁克的安全研究人员近期发现了一种通过官方应用市场 Google Play 传播的恶意程序 Android.Sockbot。据悉,该恶意程序冒充正规应用感染设备后添加到僵尸网络之中。研究人员发现了至少 8 个应用,其下载量在 60 万至 260 万。 调查显示,恶意软件主要针对美国用户,但俄罗斯、乌克兰、巴西和德国也有它的踪影出现。目前,Google 已经将这些应用移除。对恶意应用的分析发现,应用程序通过 9001 端口与 CC 服务器相连,以接收相关命令。CC 服务器使用 SOCKS 请求该应用程序打开套接口,之后在指定端口等待一个来自指定 IP 地址的连接。在通过指定端口的 IP 地址给出连接后,CC 服务器将发出连接目标服务器的命令。 研究人表示,恶意应用程序将连接到所需目标服务器,并开始接收广告列表和相关元数据(广告类型、屏幕尺寸和名称)。该应用程序使用相同的 SOCKS 代理机制,在接收命令后与广告服务器相连并发出广告请求。但它并没有显示广告的功能。 稿源:solidot奇客,封面源自网络;

谷歌应用商店出现首款代码注入式 Android 恶意软件

据外媒 6 月 8 日报道,卡巴斯基实验室研究人员在 Google Play 商店发现一款新型 Android 恶意软件 Dvmap,允许禁用设备安全设置、安装第三方恶意应用程序并在设备系统运行库时注入恶意代码以获取持久 root 权限。 有趣的是,恶意软件 Dvmap 为绕过 Google Play 商店安全检测,首先会将自身伪装成一款安全的应用程序隐藏在益智游戏 “ colourblock ” 中,然后在短时间内升级为恶意版本。据称,该款游戏在被移除前至少下载 50,000 次。 调查显示,木马 Dvmap 适用于 32 位与 64 位版本 Android 系统。一旦成功安装,恶意软件将尝试在设备中获取 root 访问权限并安装多个恶意模块,其中不乏包含一些中文模块与恶意软件 “ com.qualcmm.timeservices ” 。为确保恶意模块在系统权限内执行,该恶意软件会根据设备正在运行的 Android 版本覆盖系统运行库。而在完成恶意应用程序安装后,具有系统权限的木马会关闭 “ 验证应用程序 ” 功能并修改系统设置。 据悉,第三方恶意应用程序主要将受感染设备连接至攻击者 C&C 服务器并向其转交设备控制权限。目前,虽然研究人员仍对恶意软件 Dvmap 进行检测,但并未观察到源自受感染 Android 设备的任何恶意命令。为防止用户设备遭受感染,研究人员建议用户在安装任何应用程序前(即使从 Google Play 商店下载)始终验证应用权限并仅授予应用程序必要权限。 附: 卡巴斯基实验室分析报告《 Dvmap: 首款代码注入式 Android 恶意软件》 原作者:Mohit Kumar,译者:青楚 ,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

“ 斗篷与匕首 ” 新型攻击来袭,可滥用合法权限接管任意版本 Android 设备

据外媒 25 日报道,安全研究人员于近期发现一种新型攻击手段 Cloak and Dagger( “ 斗篷与匕首 ” ),允许黑客完全控制任意版本的 Android 设备( 包括最新版本 7.1.2 )、窃取私人敏感数据,其中包括击键与聊天记录、设备 PIN 码、在线帐户密码、OTP 动态口令与通讯录联系人信息等。 有趣的是,此攻击手段并非利用 Android 生态系统中的任何漏洞,而是滥用流行应用商城中广泛使用的合法权限访问 Android 设备上的某些功能。Cloak and Dagger 主要利用 Android 系统的两项基本权限: SYSTEM_ALERT_WINDOW( “ draw on top ” ):合法覆盖功能,允许应用程序在 Android 设备屏幕上覆盖其他应用程序。 BIND_ACCESSIBILITY_SERVICE( “ a11y ” ):帮助残障人士与视力受损的用户通过语音命令输入信息或使用屏幕阅读功能收听事件内容。 由于 Cloak and Dagger 无需利用任何恶意代码执行木马程序,因此黑客极易开发并提交恶意应用程序且不易被谷歌商店发现。据悉,黑客可在安装恶意应用程序后执行各种操作,主要包括高级劫持攻击、无限制访问击键记录、隐身网络钓鱼攻击、静默安装获得所有操作权限的 God-mode 应用、在保持屏幕关闭的状态下解锁手机进行任意操作等。 简而言之,黑客可以暗中接管用户 Android 设备并监视设备上的一举一动。目前,虽然研究人员已向 Google 披露该攻击手段,但由于此类问题源自 Android 操作系统设计缺陷且涉及两个标准功能的正常运行,因此该问题恐怕一时无法解决。安全专家建议用户始终从 Google Play 商店下载应用程序并在安装应用程序之前仔细检查权限设置。 原作者:Swati Khandelwal, 译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

恶意软件 FalseGuide 潜入 Google 商店,200 万安卓用户不幸中招

据外媒 25 日报道,Check Point 网络安全研究人员发现一款隐藏在 Pokemon GO 与 FIFA Mobile 等 40 多种盗版流行游戏指南应用程序中的恶意软件 FalseGuide 。目前,Google Play 官方应用商店约 60 万 Android 用户已被成功诱导安装该恶意软件。 研究人员开始认为盗版指南最早于今年 2 月上传至 Google Play 应用商店,经过深入调研后发现其实类似应用程序早在 2016 年 11 月就已存在。初期数据显示,恶意软件 FalseGuide 已感染超过 60 万用户设备,而目前已有 200 万 Android 用户设备遭受感染。据悉,所有受害者都在找寻喜爱的游戏指南时不幸中招。 FalseGuide 在受感染设备中悄然创建一个用于传播广告软件的僵尸网络并在安装过程中请求设备管理员权限以避免检测。报告显示,恶意软件将自身注册成与应用程序名称相同的 Firebase Cloud Messaging 主题。一旦该主题被订阅,FalseGuide 将接收包含跳转至其他模块链接的消息并下载模块至受感染设备。 调查发现,僵尸网络通过后台服务显示非法弹出式广告。一旦设备启动,恶意软件当即运行。根据攻击者的目标,这些模块可能包含高强度恶意代码,可用于 root 设备、发起 DDoS 攻击,甚至渗透私有网络。据悉,此类盗版应用程序包括 FIFA Mobile、 Lego Nexo Knights、Lego City My City、Rolling Sky 等。 研究人员指出,移动僵尸网络自去年年初以来呈显著增长趋势。这种恶意软件通过首个组件的非恶意属性渗透 Google Play 应用商店,仅下载实际有害代码。目前,FalseGuide 已被从 Google Play 应用商店移除。 原作者:Gabriela Vatu,译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Google 揭安卓间谍软件 Chrysaor 隐藏三年终被发现

安全公司 Lookout 与 Google 专家 4 日透露,安卓间谍软件 Chrysaor 感染移动设备逾三年终被发现。专家表示,Chrysaor 主要通过著名的安卓生根漏洞(称为 Framaroot) 感染移动设备并全面控制系统应用。 据悉,Chrysaor 是最为复杂的移动间谍软件之一,由以色列监视公司 NSO Group Technologies 开发。目前,安全专家已确定不到三十台安卓设备受到该间谍软件的攻击。调查表明,尽管间谍软件 Chrysaor 将以色列锁定为主要攻击目标,但格鲁吉亚、土耳其、墨西哥、阿联酋等国家也纷纷受到影响。 间谍软件 Chrysaor 主要实现功能: 从 Gmail、WhatsApp、Facebook、Twitter 等流行应用中窃取数据 基于 SMS 的命令远程控制设备 录制直播音频和视频 键盘记录和捕获截图 禁用系统更新以防止漏洞修补 监视联系人、短信、电子邮件和浏览器历史记录 自毁逃避检测 安全专家表示,虽然这些应用程序从未在 Google Play 中使用,但他们已经联系潜在受影响的用户禁用感染设备中的应用程序,并及时更改验证应用程序以确保用户系统的安全。 该间谍软件具有明显的自我毁灭能力,因此无法分析其攻击性能。事实上,早在 2014 年 NSO 科技公司就已在安卓操作系统中发现这一零日漏洞,并实施利用最新版本的恶意软件 Chrysaor 代码感染移动设备。 原作者:Pierluigi Paganini, 译者:青楚,审核:狐狸酱 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接