据观察，与俄罗斯有关的黑客组织 Sandworm 伪装成电信提供商，以恶意软件攻击乌克兰实体。美国政府将其归为俄罗斯 GRU 外国军事情报部门的一部分。据悉，APT 黑客组织在今年发起了多次攻击，包括对乌克兰能源基础设施的攻击以及名为“ Cyclops Blink ” 的持久僵尸网络的部署。 从2022年8月开始，Recorded Future的研究人员就观察到使用伪装成乌克兰电信服务提供商的动态 DNS 域的 Sandworm 命令和控制 (C2) 基础设施有所增加。最近的活动旨在将 Colibri Loader 和 Warzone RAT（远程访问木马）等商品恶意软件部署到关键的乌克兰系统上。 新的沙虫基础设施 虽然 Sandworm 已显着更新了其 C2 基础设施，但它是逐步更新的，因此 CERT-UA 报告中的历史数据使 Recorded Future 能够将当前操作与威胁行为者联系起来。 一个例子是 CERT-UA于 2022 年 6 月发现的域“datagroup[.]ddns[.]net”  ，伪装成乌克兰电信运营商 Datagroup 的在线门户。 另一个被欺骗的乌克兰电信服务提供商是 Kyivstar，Sandworm 使用“kyiv-star[.]ddns[.]net”和“kievstar[.]online”的外观。 最近的案例是“ett[.]ddns[.]net”和“ett[.]hopto[.]org”，很可能是为了模仿另一家乌克兰电信运营商 EuroTransTelecom LLC 的在线平台。 其中许多域解析为新的 IP 地址，但在某些情况下，与可追溯到 2022 年 5 月的过去 Sandworm 活动有重叠。 感染链 攻击首先引诱受害者访问这些域，通常是通过从这些域发送的电子邮件，使发件人看起来像是乌克兰的电信提供商。这些网站使用的语言是乌克兰语，呈现的主题涉及军事行动、行政通知、报告等。 Recorded Future 看到的最常见的网页是包含文本“ОДЕСЬКА ОБЛАСНА ВІЙСЬКОВА АДМІНІСТРАЦІЯ”的网页，翻译为“敖德萨地区军事管理局”。 网页的 HTML 包含一个 base64 编码的 ISO 文件，当使用 HTML 走私技术访问网站时会自动下载该文件。 值得注意的是，几个俄罗斯国家资助的黑客组织使用 HTML 走私，最近的一个例子是 APT29。 图像文件中包含的有效载荷是 Warzone RAT，这是一种创建于 2018 年并在 2019 年达到顶峰的恶意软件。Sandworm 使用它来替换他们在前几个月部署的 DarkCrystal RAT。 可能是，俄罗斯黑客希望通过使用广泛可用的恶意软件并希望他们的踪迹“消失在噪音中”，从而使安全分析师的跟踪和归因更加困难。 WarZone RAT 恶意软件可能已经过时，但它仍然提供强大的功能，如 UAC 绕过、隐藏的远程桌面、cookie 和密码窃取、实时键盘记录、文件操作、反向代理、远程外壳 (CMD) 和进程管理。 此外，Palo Alto 的 Unit42 的一份报告详细介绍了 APT29 在单独的活动中使用的类似 HTML Smuggling 例程来下载 ISO 文件，如下图 11所示。APT29 最初使用此例程是用于二进制数组，这有助于潜在地阐明 UAC-0113 的冗余 for 循环的原始目的。APT29 的 HTML 和 JavaScript 代码与上面图 10中所示的 UAC-0113 链接示例有类似的重叠。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/NTdCugs1lMX-_x2By3NYtA 封面来源于网络，如有侵权请联系删除

据Security affairs 9月7日消息，AT&T Alien Labs 的研究人员发现了一种新型隐形 Linux 恶意软件 Shikitega，它以端点和物联网设备为目标实施多阶段感染，以达到能够完全控制系统并执行其他恶意活动，包括加密货币挖掘。 Shikitega操作流程 该恶意软件的主要释放器是一个非常小的 ELF 文件，其总大小仅为 370 字节左右，而其实际代码大小约为 300 字节。专家报告称，Shikitega 能够从 C2 服务器下载下一阶段的有效载荷并直接在内存中执行。通过利用 Metasploit 中最流行的编码器Shikata Ga Nai ，恶意软件会运行多个解码循环，每一个循环解码下一层，直到最终的 shellcode 有效负载被解码并执行。 Shikitega 利用 CVE-2021-4034（又名 PwnKit）和 CVE-2021-3493漏洞来提升权限，并在 root 权限执行的最后阶段保持持久性。 由于Shikitega使用多态编码器来逐步实现有效负载，其中每个步骤仅显示总有效负载的一部分。这一“低调”操作让Shikitega避免被反病毒引擎检测到。 除了Shikitega，近来在野外发现的 Linux 恶意软件正越发多样，包括BPFDoor、Symbiote、Syslogk、OrBit和 Lightning Framework等。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/344056.html 封面来源于网络，如有侵权请联系删除

尽管 Google Translate 从未推出过桌面端版本，但是用户搜索就可能会在结果页面看到一些免费软件网站提供下载。伪装成 Google Translate 和其他 Google 服务的应用程序往往在很大程度上存在恶意，其中最广泛的是用于加密挖矿。 本周，IT 安全组织 Checkpoint Research (CRP) 发布了一份报告，称其发现了隐藏在看起来合法的应用程序（包括Google翻译）背后的加密挖掘恶意软件活动。这些程序在执行其广告功能的同时下载恶意软件以获得用户的信任。 研究人员在 Softpedia 和 Uptodown 等流行的软件下载网站上发现了来自土耳其开发商 Nitrokod 的恶意软件，这表明它是安全的。欺诈程序包括桌面版本的Google翻译、Yandex 翻译、微软翻译、YouTube Music、mp3 下载器和自动关闭应用程序。 下载任何这些程序的用户应尽快卸载它们，并改用官方的基于 Web 或移动版本的版本。这些服务都没有合法的桌面应用程序，这使得 Nitrokod 的版本似乎是唯一在搜索结果中排名靠前的版本。 Nitrokod 将恶意软件设计为在安装后看起来是合法的。例如，该组织的Google翻译应用程序的外观和工作方式与官方网页相似。那是因为 Nitrokod 通过 Chromium Embedded Framework 转换 Google 的页面来构建它。此外，这些应用程序不会立即开始出现可疑行为。相反，他们会等到用户在四天内至少重置系统四次，这可能需要数周时间，具体取决于用户。 Checkpoint 表示这有助于他们避免沙箱检测。 之后，恶意软件会删除其安装痕迹，使用户更难确定可疑活动的来源。 Nitrokod 的软件还会检查是否存在安全软件。如果它检测到它在虚拟机上运行的迹象，它也不会启动挖掘程序——这是对恶意软件的一种预防措施。在所有这些步骤之后，恶意软件开始使用受害者的计算机来挖掘加密货币。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1311041.htm 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 在2022年3月至6月期间，多达三个不同但相关的活动被发现将各种恶意软件（包括 ModernLoader、RedLine Stealer和加密货币矿工）发送到受感染系统上。 Cisco Talos研究员Vanja Svajcer在与The Hacker News分享的一份报告中说：“攻击者使用PowerShell、.NET程序集、HTA和VBS文件在目标网络中传播，最终丢弃其他恶意软件，例如SystemBC特洛伊木马和DCRat，以实现其操作的各个阶段。” 该恶意植入程序名为ModernLoader，旨在为攻击者提供对受害者计算机的远程控制，从而使攻击者能够部署额外的恶意软件、窃取敏感信息，甚至使计算机陷入僵尸网络。 Cisco Talos将感染归因于一名以前没有记录但会说俄语的黑客，理由是使用了现成的工具。潜在目标包括保加利亚、波兰、匈牙利和俄罗斯的东欧用户。 这家网络安全公司发现的感染链涉及试图破坏易受攻击的网络应用程序（WordPress和CPanel），通过假冒亚马逊礼品卡的文件传播恶意软件。 第一阶段有效负载是一个HTML应用程序（HTA）文件，它运行托管在命令和控制（C2）服务器上的PowerShell脚本，以启动临时有效负载的部署，最终使用称为进程空心化的技术注入恶意软件。 ModernLoader（又名Avatar bot）被描述为一种简单的.NET远程访问木马，它具有收集系统信息、执行任意命令或从C2服务器下载并运行文件的功能，允许攻击者实时更改模块时间。 Cisco的调查还发现了2022年3月的两个早期活动，其作案手法相似，利用ModerLoader作为主要的恶意软件C2通信，并提供其他恶意软件，包括XMRig、RedLine Stealer、SystemBC、DCRat和Discord令牌窃取程序等。 Svajcer说：“这些活动描绘了一个尝试不同技术的黑客，使用现成的工具表明，攻击者了解成功的恶意软件活动所需的TTP，但他们的技术技能还不足以完全开发自己的工具。”   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

据Bleeping Computer网站8月30日消息，威胁分析师发现了一个名为“GO#WEBBFUSCATOR”的新恶意软件活动，该活动依赖网络钓鱼电子邮件、恶意文档和来自詹姆斯韦伯望远镜的空间图像来传播恶意软件。 该恶意软件由 Golang 编写，Golang 因其跨平台的特性（Windows、Linux、Mac）以及对逆向工程和分析的强抵抗力而越发得到网络犯罪分子的青睐。在 Securonix 的研究人员最近发现的活动中，攻击者会在 VirusTotal 扫描平台上投放当前未被防病毒引擎标记为病毒的有效负载。 感染链 感染始于一封带有“Geos-Rates.docx”恶意文档的网络钓鱼电子邮件，该文档会下载模板文件，其中包含一个经过混淆的 VBS 宏，如果在 Office 套件中启用了宏，该宏会自动执行。之后，该代码从一个远程资源（“xmlschemeformat[.]com”）下载 JPG 图片（“OxB36F8GEEC634.jpg”），使用 certutil.exe 将其解码为可执行文件（“msdllupdate.exe”）并启动。 以图像查看器（左）和文本编辑器（右）打开图片文件 在图像查看器中，这是一张由 NASA 的詹姆斯韦伯望远镜于 2022 年 7 月发布的星系团 SMACS 0723图片，若使用文本编辑器打开，则会显示伪装成内含证书的额外内容，其本质是Base64编码的恶意有效载荷。有效载荷的字符串使用ROT25进一步混淆，而二进制文件使用XOR来隐藏Golang程序集，以防止分析人员发现。除此之外，这些程序集还使用了案例修改来避免安全工具基于签名的检测。 根据动态恶意软件分析推断出的情况，该可执行程序通过复制到’%localappdata%%microsoft\vault\’并添加一个新的注册表键来实现持久性，之后便与命令和控制（C2）服务器建立了DNS连接，并发送加密查询。C2可通过设置连接请求之间的时间间隔、更改nslookup超时或通过Windows cmd.exe工具发出执行命令来响应恶意软件。 在测试过程中，Securonix观察到攻击者在其测试系统上运行任意的枚举命令，这是一个标准侦察步骤的第一步。研究人员指出，用于该活动的域名注册时间较新，最早的注册时间是 2022 年 5 月 29 日。 Securonix 提供了一组危害指标 (IoC)，其中包括基于网络和主机的指标。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/343382.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： SolarWinds供应链攻击背后的黑客与另一个“高度目标化”的后门恶意软件有关，该恶意软件可用于保持对受损环境的持久访问。 微软威胁情报团队称之为MagicWeb，该开发重申了Nobelium对开发和维护专用功能的承诺。 Nobelium是这家科技巨头的绰号，因为2020年12月针对SolarWinds的复杂攻击曝光了一系列活动，并与俄罗斯民族国家黑客组织APT29，Cozy Bear或The Dukes重叠。 微软表示：“Nobelium仍然非常活跃，同时针对美国、欧洲和中亚的政府组织、非政府组织、政府间组织和智囊团开展了多项活动。” MagicWeb与另一个名为FoggyWeb的工具有相似之处，据评估，它已部署用于在补救工作期间维护访问权限和抢占驱逐，但只有在获得对环境的高度特权访问并横向移动到AD FS服务器之后。 虽然FoggyWeb具有专门的功能来提供额外有效负载和从Active Directory Federation Services（AD FS）服务器窃取敏感信息，但MagicWeb是一个流氓DLL（“Microsoft.IdentityServer.Diagnostics.dll”的后门版本），它通过身份验证旁路促进对AD FS系统的秘密访问。 “Nobelium部署MagicWeb的能力取决于能否访问对AD FS服务器具有管理权限的高特权凭据，从而使他们能够在其访问的系统上执行任何恶意活动。”微软表示。 此前，一项以APT29为主导的针对北约附属组织的行动被披露，目的是获取外交政策信息。 具体来说，这需要禁用名为Purview Audit（以前称为高级审核）的企业日志记录功能，以从Microsoft 365帐户中获取电子邮件。Mandiant说：“APT29将继续展现卓越的操作安全性和规避战术。” 黑客在最近的操作中使用的另一种新策略是使用密码猜测攻击来获取与休眠帐户相关联的凭据，并将其注册为多重身份验证，从而允许其访问组织的VPN基础设施。 APT29仍然是一个多产的威胁组织。上个月，Palo Alto Networks Unit 42标记了一场网络钓鱼活动，该活动利用Dropbox和Google Drive云存储服务进行恶意软件部署和其他入侵后行动。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

据Bleeping Computer网站8月23日消息，网络安全研究人员发现了多个恶意软件传播活动，目标针对下载盗版软件的互联网用户。 该活动使用 SEO 投毒和恶意广告推高这些“带毒”的共享软件网站在 Google 搜索结果中的排名，据发现此事件的Zscaler 称，这些盗版软件包括了3DMark、Adobe Acrobat Pro等时下热门应用。多数情况下，这些软件安装程序的恶意可执行文件位于文件托管服务上，因此登陆页面将受害者重定向到其他服务以下载这些文件。 含恶意盗版软件的高排名搜索结果 网站重定向流程图 这些传播恶意文件的重定向站点名称不那么花哨，并且位于“xyz”和“cfd”顶级域上。下载的文件包含一个 1.3MB、有密码保护的 ZIP 文件，以此来逃避 AV 扫描，此外还附带一个包含解密密码的文本文件。由于采用字节填充技术，ZIP解压后的文件大小有600M，这是许多恶意软件遵循的常见反分析做法，其中包含的可执行文件是一个恶意软件加载程序，它会生成一个编码的 PowerShell 命令，该命令会在 10 秒超时后启动 Windows 命令提示符 (cmd.exe)，以逃避沙盒分析。 cmd.exe 进程会下载一个 JPG 文件，该文件实际上是一个 DLL 文件，其内容反向排列。加载程序以正确的顺序重新排列内容，派生出最终的 DLL，即 RedLine Stealer 有效负载，并将其加载到当前线程中。 获取恶意图像文件 RedLine Stealer是一种强大的信息窃取恶意软件，它可以窃取存储在网络浏览器中的密码、信用卡数据、书签、cookie、加密货币文件和钱包、VPN 凭证、计算机详细信息等。 今年6月，FreeBuf也曾报道过类似事件，信息窃取恶意软件隐藏在知名清理程序CCleaner中进行传播。 为了避免上述情况发生，用户应避免下载盗版软件、产品激活程序、破解程序、序列密钥生成器以及任何承诺无需付费即可使用付费软件的内容。即使包含这些虚假或恶意内容的网站在搜索结果中的排名很高。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/342855.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： Donot Team黑客，又名APT-C-35，为其Jaca Windows恶意软件框架添加了新功能。 Donot团队自2016年以来一直活跃，重点关注政府、军事组织、外交部以及印度、巴基斯坦、斯里兰卡、孟加拉国和其他南亚国家的大使馆。 2021年10月，大赦国际发布的一份报告表示，“Donot团队利用Android应用程序伪装成安全聊天应用程序和恶意电子邮件，针对多哥著名人权捍卫者进行攻击。过去，在南亚以外的攻击中发现了Donot团队间谍软件。调查还发现了这些攻击中使用的间谍软件和基础设施，与印度网络安全公司Innefu Labs之间的联系。” 攻击链从包含恶意附件的鱼叉式网络钓鱼电子邮件开始，一旦启用Microsoft Office宏，就会加载下一阶段的恶意软件，利用公式编辑器漏洞打开RTF文件，并通过远程模板注入。 “Morphisec Labs 确定了一个新的DoNot感染链，它将新模块引入Windows框架。在这篇文章中，我们详细介绍了shellcode加载器机制及其后续模块，确定了浏览器窃取器组件中的新功能，并分析了反向shell的新DLL变体。DoNot最新的鱼叉式网络钓鱼电子邮件活动使用了RTF文件针对政府部门，包括巴基斯坦国防部门。”Morphisec发布的报告中写道。 该组织现在改进了其Jaca Windows恶意软件框架，例如，它增强了浏览器窃取模块。与以前版本的模块不同，新版本使用前一阶段下载的四个附加可执行文件 (WavemsMp.dll)，而不是在DLL中实现窃取功能。每个附加的可执行文件都允许从Google Chrome和/或Mozilla Firefox中窃取信息。 在最近的攻击中，该组织使用RTF文档发送消息，欺骗用户启用宏。启用宏后，将一段shellcode注入内存，然后从C2服务器下载并执行第二阶段的shellcode。 第二阶段的shellcode从不同的远程服务器获取主DLL文件（“pgixedfxglmjirdc.dll”），它负责向C2服务器发送信号通知感染成功。它向服务器发送受感染机器的系统信息，然后下载下一阶段DLL，即模块下载器“WavemsMp.dll”。 这个阶段的主要目的是下载并执行用于窃取用户信息的模块。为了了解当前感染中使用了哪些模块，恶意软件与另一台C2服务器进行通信。恶意软件从嵌入式链接中获取新地址，该链接指向包含加密地址的Google Drive文档。 攻击者还实现了一个反向shell模块，该模块被重新编译为DLL。其功能保持不变，打开攻击者机器的套接字（位于162.33.177[.]41），创建一个新的隐藏cmd.exe进程并将STDIN、STDOUT和STDERR设置为套接字。 研究人员总结道：“防御像DoNot团队这样的APT需要深度防御策略，该策略使用多个安全层，以确保任何给定层被破坏时的冗余。最难防御的攻击是那些在运行时以应用程序为目标的攻击——比如这里详述的Windows框架。这是因为流行的安全解决方案（例如NGAV、EDR、EPP、XDR等）侧重于检测磁盘或操作系统上的异常情况，它们在运行时检测或阻止内存攻击的能力是有限的。在一定程度上，它们会导致严重的系统性能问题和错误警报，因为必须将它们调到最高警告级别。”   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 网络安全公司卡巴斯基的最新发现显示，超过131万用户至少一次试图安装恶意或不需要的Web浏览器扩展。 该公司表示：“从2020年1月到2022年6月，超过430万独立用户受到隐藏在浏览器扩展中的广告软件的攻击，约占所有用户中受恶意和不需要的附加组件影响的70%。” 根据卡巴斯基的遥测数据，2022年上半年，多达1311557名用户属于这一类别。相比之下，这类用户的数量在2020年达到峰值3660236名，其次是2021年的1823263个独立用户。 最普遍的威胁是一系列称为WebSearch的广告软件，它伪装成PDF查看器和其他实用程序，并具有收集和分析搜索查询，以及将用户重定向到附属链接的功能。 WebSearch还因修改浏览器的起始页而闻名，该页面包含搜索引擎和许多指向第三方来源的链接，如AliExpress，当受害者点击这些链接时，会帮助扩展开发人员通过附属链接赚钱。 卡巴斯基指出：“此外，该扩展将浏览器的默认搜索引擎修改为search.myway[.]com，它可以捕获用户查询，收集并分析它们。根据用户搜索的内容，大多数相关的合作伙伴网站将在搜索结果中积极推广。” 第二组扩展涉及一种名为AddScript的威胁，该威胁以视频下载程序的名义隐藏其恶意功能。虽然附加组件确实提供了广告功能，但它们也旨在联系远程服务器以检索和执行任意JavaScript代码。 此外，还发现了FB Stealer等窃取信息的恶意软件，其目的是窃取登录用户的Facebook登录凭据和会话cookie。FB Stealer在2022年上半年造成了3077起独特的感染尝试。 该恶意软件主要针对搜索引擎上寻找破解软件的用户，FB Stealer通过名为NullMixer的特洛伊木马交付，该木马通过非官方破解软件安装程序传播，如SolarWinds Broadband Engineers Edition。 研究人员说：“FB Stealer是由恶意软件而不是由用户安装的，一旦添加到浏览器中，它就会模仿无害且外观标准的Chrome扩展程序Google Translate。” 这些攻击也是出于经济动机。恶意软件操作人员在获得身份验证cookie后，登录到目标的Facebook帐户，并通过更改密码来劫持该帐户，从而有效地锁定了受害者。然后，攻击者可以滥用访问权限向受害者的朋友要钱。 一个多月前，Zimperiumm披露了一个名为ABCsoup的恶意软件家族，它伪装成Google Translate扩展程序，作为针对谷歌Chrome、Opera和Mozilla Firefox浏览器俄罗斯用户的广告软件活动的一部分。 为使Web浏览器免受感染，建议用户坚持使用可信来源下载软件，检查扩展权限，并定期查看和卸载“您不再使用或无法识别”的加载项。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

据The Hacker News报道，攻击者正在想法设防绕过 Google Play 商店的安全保护措施。安全研究人员也发现了一个以前未记录的Android滴管木马，该木马目前正在开发中。 荷兰网络安全公司ThreatFabric的Han Sahin 在一份报告中指出，这种恶意软件试图使用一种从未见过的新技术来感染设备，以传播极其危险的Xenomorph银行木马，允许犯罪分子在受害者的设备上进行欺诈攻击。 该恶意软件被ThreatFabric命名为BugDrop，是一种dropper应用程序，其设计目的十分明确，就是为了应对Android系统更新引入的新功能：使恶意软件难以向受害者请求辅助功能服务权限。 ThreatFabric认为BugDrop恶意软件的始作俑者是臭名昭著的“Hadoken Security”网络犯罪组织，该组织也是Xenomorph /Gymdrop 等Android等系列恶意软件的幕后黑手。 从以往滴管木马的表现来看，这类银行木马通常会利用无害的滴管应用程序部署在Android系统上，滴管程序则会伪装成具有生产力或比较实用的应用程序，用户一旦安装，就会诱骗用户授予侵入性权限。 例如可读取手机屏幕内容，并代表用户执行操作的Accessibility API已经被攻击者广泛滥用，攻击者可以借此捕获账户密码、财务信息等较为敏感的用户数据。具体实现方式为，当受害者打开所需的应用程序（例如加密货币钱包）时，木马会注入从远程服务器检索到的假冒登录表单。 鉴于大多数这些恶意应用程序都是侧载，只有在用户允许从未知来源安装时才有可能发生这种情况，因此谷歌在 Android 13 中采取了阻止辅助功能 API 访问，从应用程序商店外部安装应用程序的步骤。 但这并没有阻止对手试图绕过这个受限的安全设置。输入 BugDrop，它可以伪装成 QR 码阅读器应用程序。安全人员亲自进行测试，可通过基于会话的安装过程部署恶意有效负载。安全人员进一步强调，“攻击者正在使用这类恶意软件，能够在受感染的设备上安装新的APK，以测试基于会话的安装方法，并将其整合到更精细的 dropper 中，这在未来是很有可能会发生的事情。” 如果上述变化成为现实，可能会使银行木马更具威胁性，甚至能够绕过安全防护体系，给用户造成严重损失。 ThreatFabric公司也表示，“随着BugDrop逐步完善当前存在的各种缺陷，攻击者在与安全团队、银行机构的战争中拥有一种全新的高威力的武器，足以击败谷歌目前采用的解决方案，这需要引起谷歌和安卓的警惕。” 转自 FreeBuf，原文链接：https://www.freebuf.com/news/342264.html 封面来源于网络，如有侵权请联系删除