HackerNews 编译，转载请注明出处： 一款名为 ZeroDayRAT 的新型移动间谍软件攻击活动已被记录，其攻击目标同时覆盖安卓与 iOS 设备。 该跨平台工具可使攻击者持久获取用户的个人通信内容、精准定位数据及银行业务操作记录。 网络安全厂商 iVerify 发布的最新安全公告显示，该恶意软件的新颖之处在于其为操控者提供的控制权限广度，以及极低的设备感染门槛。 攻击者仅需诱骗受害者安装恶意二进制文件，即可攻陷目标设备，此类文件通常为安卓 APK 安装包或 iOS 恶意有效载荷。 短信钓鱼仍是最常用的诱骗手段，攻击者通过短信推送仿冒但极具迷惑性的应用链接。研究人员还观测到钓鱼邮件、假冒应用商店，以及通过 WhatsApp、Telegram 传播的恶意链接等攻击方式。 设备概览、用户画像构建与资金窃取 设备感染后，攻击者通过专属网页端控制面板，首先可查看目标设备的全面概览信息。 面板会展示硬件参数、操作系统版本、电池状态、归属国家、SIM 卡与运营商信息、设备锁定状态，以及按时间拆分的应用使用数据。 近期短信与实时行为时间轴同步展示，帮助攻击者快速构建用户行为习惯与联系人画像。 浏览概览界面即可查看截获的银行、移动通信运营商及个人联系人信息。该单一面板可呈现用户高频联系人、设备活跃时段及接入网络等关键信息。攻击者可基于该界面进一步获取更细分的数据流。 独立功能标签页搭载更多监控功能。全球定位系统（GPS）数据会在嵌入式谷歌地图界面呈现，并保留完整定位历史轨迹。 恶意软件可在不启动任何应用的前提下，被动抓取设备通知，包括 WhatsApp、Instagram、Telegram、YouTube 的提醒、未接来电及系统事件。 ZeroDayRAT 还搭载专用资金窃取模块： ·     加密货币窃取模块：可识别加密货币钱包，并替换为攻击者控制的剪贴板地址 ·     银行信息窃取模块：通过覆盖层攻击，针对网上银行应用、PhonePe 与谷歌支付等统一支付接口（UPI）平台，以及苹果支付、贝宝等支付服务实施窃取 持续性且持续升级的威胁 iVerify 表示，该平台构成了一套完整的移动设备攻陷工具套件，此类能力以往仅国家级主体可掌握。 如今该工具通过 Telegram 频道公开售卖，购买者可获取目标设备的定位、短信、资金、相机、麦克风及按键记录，覆盖安卓与 iOS 双系统。 iVerify 警示，员工设备被攻陷将引发凭据窃取、账户劫持与数据窃取等严重安全风险。 研究团队表示：“对企业而言，员工沦陷设备是凭据窃取、账户劫持与数据窃取的攻击向量。” “对个人而言，这意味着隐私完全泄露，直接面临财产损失风险。移动设备安全需与终端安全、邮件安全同等重视。” 研究团队补充，检测 ZeroDayRAT 这类威胁需要移动终端检测与响应（EDR）能力，该能力超越传统设备管理范畴，可在统一管理与自带设备办公（BYOD）环境中，融合设备端检测、移动取证与自动化响应能力。   消息来源：infosecurity-magazine.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌披露，随着 Android 系统持续采用 Rust 编程语言，内存安全漏洞数量占总漏洞的比例首次降至 20% 以下。 “我们采用 Rust 是看中其安全性，相比 Android 中的 C 和 C++ 代码，Rust 代码的内存安全漏洞密度降低了 1000 倍。但最令人意外的是 Rust 对软件交付的影响，” 谷歌的杰夫・范德・斯托普表示，“Rust 代码修改的回滚率降低了 4 倍，代码审查时间缩短了 25%，如今更安全的开发方式同时也是更高效的方式。” 此前一年多，这家科技巨头曾披露，向 Rust 语言转型已促使内存安全漏洞数量从 2019 年的 223 个降至 2024 年的不足 50 个。 谷歌指出，Rust 代码所需的修订次数更少，相比 C++ 代码减少约 20%，且回滚率降低，从而提升了整体开发吞吐量。 谷歌还表示，计划将 Rust 的 “安全性和生产力优势” 扩展到 Android 生态系统的其他部分，包括内核、固件以及核心第一方应用（如 Nearby Presence、消息层安全协议 MLS 和 Chromium 浏览器）。目前 Chromium 中 PNG、JSON 和网页字体的解析器已替换为 Rust 编写的内存安全实现版本。 此外，谷歌强调需采取深度防御策略，称 Rust 语言内置的内存安全特性只是全面内存安全战略的一部分。 作为例证，谷歌提到其在 CrabbyAVIF 中发现了一个内存安全漏洞（CVE-2025-48530，CVSS 评分 8.1）。CrabbyAVIF 是一个用不安全 Rust 编写的 AVIF（AV1 图像文件）解析器 / 解码器，该漏洞可能导致远程代码执行。尽管这一线性缓冲区溢出漏洞从未进入公开版本，但谷歌已在 2025 年 8 月的 Android 安全更新中修复了该问题。 对这一 “险些泄露” 的漏洞进一步分析发现，Android 中的动态用户态内存分配器 Scudo 使其无法被利用。Scudo 旨在对抗堆相关漏洞（如缓冲区溢出、释放后使用和双重释放），且不影响性能。 谷歌强调，不安全 Rust “本身已相当安全”，其漏洞密度远低于 C 和 C++，且 Rust 中的 “不安全” 代码块并不会自动禁用该语言的安全检查。 “尽管 C 和 C++ 仍将继续存在，软件和硬件安全机制对于分层防御也至关重要，但向 Rust 转型是一种不同的方式 —— 事实证明，更安全的开发路径同时也是更高效的路径。” 谷歌表示。       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员确认，长期活跃的Android银行木马Anatsa近期针对北美金融机构和银行应用用户发起新攻击。荷兰网络安全公司ThreatFabric追踪显示，这至少是该恶意软件第三次瞄准美国与加拿大的移动银行用户。Anatsa具备窃取银行凭证、记录键盘输入及通过远程控制工具在受感染设备上直接实施欺诈交易的能力。 攻击活动通常始于开发者向应用商店上传看似合法的Android应用（如PDF阅读器或手机清理工具），这些应用在积累数万次下载前功能正常。随后通过更新注入恶意代码，将Anatsa作为独立程序安装到设备，并根据攻击目标执行不同恶意操作。本次攻击中，恶意代码潜伏于某款文件阅读器应用，在其发布约六周后（6月24日至30日期间）通过更新推送。该应用下架前在美国Play商店免费工具榜排名前列，累计下载量超5万次。 应用安全公司Cequence首席信息安全官Randolph Barr指出，这种两阶段攻击模式具有典型性：“即使资深用户亦可能疏忽，因初始应用表现正常。”虽然黑客如何推广应用以实现广泛传播尚未明确，且被盗数据具体用途仍不清晰（可能用于勒索攻击或暗网交易），但值得关注的是此次攻击目标清单显著扩展，覆盖了更广泛的美国移动银行应用。 银行木马作为窃取金融信息的常见犯罪工具，常导致未经授权的转账、账户接管及用户重大财产损失。Barr预测未来可能出现更复杂的攻击变种：“包括针对特定银行或地区的AI个性化恶意覆盖界面、安装后实时下载的模块化载荷、通过屏幕覆盖或令牌窃取绕过MFA多因素认证，以及更隐蔽的无障碍服务滥用与会话劫持。” 本月初，ThreatFabric还发现新型Android银行木马Crocodilus正在欧洲、南美及亚洲部分地区扩散。其最新变种能在受害者通讯录插入伪造联系人，使攻击者可伪装成银行客服等可信来源实施诈骗通话，潜在规避欺诈监测系统对陌生号码的警报机制。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Android企业版推出全新设备信任（Device Trust）解决方案，通过实时验证设备安全状态强化移动端防护，应对混合办公模式下的数据泄露风险。该功能基于零信任原则，持续监测操作系统版本、安全补丁级别及屏幕锁强度等指标，无论设备是否受企业统一管理，均能在访问敏感数据前完成安全评估。 国际数据公司（IDC）终端安全研究总监Mike Jude指出：“企业需要确保接入业务系统的个人设备达到基本安全标准，Android企业版设备信任方案为此提供了重要支撑。”该平台与CrowdStrike、Okta、Omnissa、Urmobo、Zimperium等安全厂商深度集成，覆盖终端管理（EMM/UEM）、身份认证（IdPs）、端点防护（EDR/MTD）及安全信息事件管理（SIEM）四大领域，输出20余项Android专属安全指标，实现分层策略与实时决策。 设备信任方案兼容企业设备与员工自有Android终端，无需完整注册管理（EMM）即可通过安装合作安全应用完成验证，尤其适用于临时工、承包商等需快速接入业务系统的场景——任务完成后可立即撤销权限。通过实时威胁可视化管理，IT团队能及时应对系统版本过时、设备丢失等风险，提升事件响应效率。 该服务支持Android 10及以上系统。Android企业版将于7月10日举办“设备信任实践研讨会”，分享技术洞察与应用案例。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌近日修复了46个Android安全漏洞，其中包括一个已被在野利用的高危漏洞（追踪编号CVE-2025-27363，CVSS评分8.1）。该公司未透露相关攻击活动细节及漏洞利用者的身份信息。 该漏洞存在于系统组件中，成功利用可导致本地代码执行。2025年5月安卓安全公告指出：“最严重的问题是系统组件中的高危漏洞，攻击者无需额外权限即可执行本地代码，且无需用户交互即可完成利用。有迹象表明CVE-2025-27363可能已被定向攻击者有限度利用。” 今年3月中旬，Meta曾警告称FreeType库中的越界写入漏洞（同样追踪为CVE-2025-27363）可能已遭活跃利用。该漏洞影响FreeType 2.13.0及更早版本，具体存在于解析TrueType GX和可变字体文件的子字形结构时。“漏洞代码将带符号短整型数值赋给无符号长整型变量，叠加静态值后引发数值回绕，导致堆缓冲区分配过小。攻击者可借此越界写入最多6个带符号长整型数据，最终可能实现任意代码执行。”Meta公告称，同样未披露攻击细节、攻击者身份或攻击规模。 安全专家警告，多个Linux发行版仍在使用存在漏洞的旧版FreeType库，面临被攻击风险。谷歌在公告中强调：“新版安卓平台的多项安全增强机制大幅提升了漏洞利用难度，建议所有用户尽可能升级至最新系统版本。”       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 扒窃技术正在升级。一种新型Android恶意软件利用NFC技术，在您与诈骗者通话时盗取您的银行卡。 试想您收到一条看似来自银行的短信，警告存在“可疑交易”并催促您联系客服。出于谨慎，您拨打电话，一个平静且令人安心的声音回应道：“别担心，我们会指导您处理。” 但几分钟后，您已经在不知情中安装了恶意软件、泄露了PIN码、解除了借记卡的消费限额，并应诈骗者要求完全授权其清空您的卡片。 这听起来像噩梦？欢迎了解新型恶意软件变种SuperCard X。正如安全公司Cleafy研究人员所描述的，它界面简洁、近乎隐形且破坏力极强。 这款源自Android的恶意程序通过恶意软件即服务（MaaS）分发，由中文语系攻击者开发，利用NFC中继攻击实时窃取、盗刷您的银行卡。 SuperCard X的精妙之处在于其多阶段欺诈： 首先是通过虚假短信或WhatsApp消息进行钓鱼（smishing），声称您的账户已被入侵。 接着是电话导向攻击传递（TOAD），诈骗者致电建立信任。一旦您上钩，他们会引导您泄露PIN码、关闭卡片限额，并以安全软件为幌子让您安装恶意应用。 然后是致命一击：说服您“轻触手机验证卡片”。但该应用会通过NFC静默窃取卡片信息并发送至攻击者控制的克隆设备，随后他们可通过ATM非接触取现套现资金。 该活动已追踪到意大利受害者。类似NFC中继欺诈已在美国出现。ESET研究人员此前曾发现针对三家捷克银行客户的Android NFC恶意软件。 没有任何合法企业会要求您移除安全设置。 SuperCard X的高效性不仅在于恶意软件，更在于人为因素。据网络安全公司Cequence首席信息安全官Randolph Barr称，此类攻击仍具有地域针对性，早期迹象显示其聚焦特定区域。 “如果威胁扩大，很可能是因为用户沦为社交工程学受害者并被说服关闭内置安全防护——这是明确危险信号。”他解释道。 Barr同时指出区域风险：“亚洲地区Android用户集中度极高，这可能提升该地区风险。”换言之，骗局扩散范围越广，Android主导地区（尤其是侧载应用普遍的地区）受冲击可能性越大。 尽管Android的灵活性是其魅力所在，却也成为SuperCard X等骗局的入口。正如Barr所述：“相较而言，iOS设备实施更严格限制（尤其是NFC访问）。尽管有人认为这是局限，但从安全角度看，这是有价值的管控。” 虽然恶意软件技术复杂，但危险信号仍属传统套路。Barr强调：“Android用户应更熟悉社交工程学危险信号——有时只需在操作前验证请求合法性。” 如果有陌生人让您“安装这款安全应用”并“关闭卡片限额”，请记住：真正的安全永远不会要求您先解除自身防护。 “任何合法企业都不应要求您降低或移除设备安全设置。”Barr总结道。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 卡巴斯基研究人员发现，数千部新安卓设备被预装了 Triada 木马的新变种。一旦用户设置设备，攻击者即可立即开始窃取数据。 此次恶意软件活动主要影响俄罗斯用户。根据卡巴斯基移动防护工具的监测数据，2025年3月13日至27日期间已确认至少有2600起感染事件。这些被感染的设备是假冒的热门智能手机型号，通过在线商店以折扣价销售，吸引不明真相的消费者购买。 Triada 是一种模块化的安卓恶意软件，最早于2016年被发现。它通过在设备内存中运行来逃避检测，多年来已多次被发现在通过非正规渠道销售的低价安卓手机的固件中隐藏。一旦安装，Triada 就会变得非常难以清除，除非重新刷机。 卡巴斯基的最新报告显示，Triada 的最新变种更具隐蔽性，它隐藏在安卓系统框架中，并复制到智能手机上的每个进程中。该恶意软件在被感染设备上执行以下操作： – 窃取即时通讯和社交媒体账号； – 通过 WhatsApp 和 Telegram 发送和删除消息，冒充用户； – 通过修改钱包地址劫持加密货币交易； – 监控浏览活动并替换链接； – 在通话过程中伪造电话号码以重新路由对话； – 拦截、发送和删除短信； – 开启高级短信服务以收取付费服务费用； – 远程下载和运行额外应用程序； – 阻断网络连接以逃避检测或破坏防御。 交易分析显示，新 Triada 木马已窃取至少价值27万美元的加密货币，但由于还涉及难以追踪的门罗币（Monero），实际被盗金额可能更高。 卡巴斯基尚不确定设备是如何感染 Triada 的，但推测这可能是由于供应链攻击所致。卡巴斯基研究人员德米特里·卡利宁表示：“Triada 的新版本在设备到达用户之前就被嵌入到智能手机的固件中。供应链可能在某个环节被攻破，甚至商店可能都不知道它们销售的手机带有 Triada”。 为降低风险，建议用户仅从授权经销商处购买智能手机。如有疑问，可以使用谷歌提供的干净系统镜像，或可信的第三方 ROM（如 LineageOS 或 GrapheneOS）重新刷机。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员正警示一项Android恶意软件活动，该活动利用微软的.NET多平台应用UI（.NET MAUI）框架，制作假冒银行和社交媒体应用，目标是印度和说中文的用户。 “这些威胁伪装成合法应用，针对用户窃取敏感信息，”McAfee Labs研究员Dexter Shin表示。 .NET MAUI是微软的跨平台桌面和移动应用框架，使用C#和XAML创建原生应用。它是Xamarin的进化版，具备通过单个项目创建多平台应用的能力，并在必要时加入特定平台的源代码。 值得注意的是，Xamarin的官方支持已于2024年5月1日结束，科技巨头敦促开发者迁移到.NET MAUI。 过去曾检测到使用Xamarin实现的Android恶意软件，而最新发展表明，威胁行为者正在通过使用.NET MAUI开发新恶意软件，不断调整和改进其战术。 “这些应用的核心功能完全用C#编写，并以二进制大对象形式存储，”Shin表示。“这意味着与传统Android应用不同，其功能不存在于DEX文件或原生库中。” 这为威胁行为者带来了新优势，因为.NET MAUI充当打包器，使恶意软件能够逃避检测，并在受害设备上长期存在。 基于.NET MAUI的Android应用，统称为FakeApp，及其关联的软件包名称如下： X (pkPrIg.cljOBO) 迷城 (pCDhCg.cEOngl) X (pdhe3s.cXbDXZ) X (ppl74T.cgDdFK) Cupid (pommNC.csTgAT) X (pINUNU.cbb8AK) 私密相册 (pBOnCi.cUVNXz) X•GDN (pgkhe9.ckJo4P) 迷城 (pCDhCg.cEOngl) 小宇宙 (p9Z2Ej.cplkQv) X (pDxAtR.c9C6j7) 迷城 (pg92Li.cdbrQ7) 依恋 (pZQA70.cFzO30) 慢夜 (pAQPSN.CcF9N3) indus credit card (indus.credit.card) Indusind Card (com.rewardz.card) 没有证据表明这些应用已分发至Google Play。相反，主要传播方式是诱骗用户点击通过消息应用发送的虚假链接，这些链接将毫无戒心的接收者重定向至非官方应用商店。 在McAfee强调的一个例子中，该应用伪装成印度金融机构，收集用户敏感信息，包括全名、手机号码、电子邮件地址、出生日期、住宅地址、信用卡号码和政府颁发的身份证件号码。 另一款应用则模仿社交媒体网站X，从受害设备窃取联系人、短信和照片。该应用主要通过第三方网站或替代应用商店，针对说中文的用户。 除了使用加密套接字通信将收集的数据传输至命令与控制（C2）服务器外，恶意软件被还观察到在AndroidManifest.xml文件中添加多个无意义权限（例如“android.permission.LhSSzIw6q”），试图破坏分析工具。 为保持不被检测，还使用了一种称为多级动态加载的技术，利用XOR加密的加载程序启动AES加密的有效载荷，后者又加载设计用于执行恶意软件的.NET MAUI程序集。 “主要有效载荷最终隐藏在C#代码中，”Shin表示。“当用户与应用交互，例如按下按钮时，恶意软件会悄悄窃取他们的数据并发送至C2服务器。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Lookout 研究人员发现，一款名为 KoSpy 的新型 Android 间谍软件与朝鲜威胁组织 APT37（又名 ScarCruft）有关，该组织已通过至少五个恶意应用渗透到 Google Play 和第三方应用商店 APKPure。 此次间谍软件活动主要针对韩语和英语用户，伪装成文件管理器、安全工具和软件更新程序。恶意应用包括 휴대폰 관리자（Phone Manager）、File Manager（com.file.exploer）、스마트 관리자（Smart Manager）、카카오 보안（Kakao Security）和 Software Update Utility。 这些恶意应用在设备上运行时，会在后台加载 KoSpy 间谍软件，收集短信、通话记录、实时 GPS 位置、文件、音频和视频等敏感信息，并通过加密的 Firebase Firestore 数据库传输数据。每个应用使用独立的 Firebase 项目和命令控制（C2）服务器，数据在传输前使用硬编码的 AES 密钥进行加密。 尽管这些恶意应用已被从 Google Play 和 APKPure 移除，但用户仍需手动卸载它们，并使用安全工具扫描设备以彻底清除感染痕迹。在严重情况下，建议进行工厂重置。谷歌表示，所有被识别的 KoSpy 应用已从 Google Play 移除，相关 Firebase 项目也已关闭。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据研究人员发现，一款名为“KoSpy”的新型安卓间软件谍与朝鲜威胁组织有关联，该组织已通过至少五个恶意应用渗透至谷歌应用商店和第三方应用商店APKPure。 Lookout研究人员表示，这款间谍软件归属于朝鲜威胁组织APT37（又名“ScarCruft”）。自2022年3月起，这一行动便已启动，且威胁组织一直在积极开发该恶意软件，以更新样本。 该间谍软件行动主要针对韩语和英语用户，通过伪装成文件管理器、安全工具和软件更新程序来实施攻击。 Lookout确定的五款应用为：휴대폰 관리자（手机管理器）、File Manager（文件管理器，包名com.file.exploer）、스마트 관리자（智能管理器）、카카오 보안（Kakao安全）和Software Update Utility（软件更新工具）。   这些恶意应用至少提供部分承诺的功能，但在后台加载KoSpy间谍软件。唯一例外的是Kakao Security，它仅显示一个虚假的系统窗口，同时请求访问高风险权限。 KoSpy应用界面 根据之前与朝鲜行动相关的IP地址、用于分发Konni恶意软件的域名，以及与另一个朝鲜赞助的威胁组织APT43的基础设施重叠情况，该行动被归咎于APT37。 一旦在设备上激活，KoSpy会从Firebase Firestore数据库中检索一个加密的配置文件，以躲避检测。 随后，它连接到实际的命令与控制（C2）服务器，并运行检查以确保它不在模拟器中运行。该恶意软件可以从C2服务器获取更新的设置、额外的可执行有效载荷，并通过一个“开关”动态地激活或停用。 KoSpy的数据收集能力包括： 截获短信和通话记录 实时追踪受害者的GPS位置 读取并窃取本地存储文件 利用设备麦克风录制音频 利用设备摄像头拍摄照片和视频 捕获设备屏幕截图 通过安卓辅助功能服务记录按键操作 每个应用使用独立的Firebase项目和C2服务器进行数据窃取，且数据在传输前使用硬编码的AES密钥进行加密。 尽管这些间谍软件应用已从谷歌应用商店和APKPure下架，但用户需要手动卸载它们，并使用安全工具进行扫描，以彻底清除设备上的任何感染残留。在严重情况下，建议进行出厂重置。 谷歌应用商店保护功能也能阻止已知的恶意应用，因此在已更新的安卓设备上启用该功能有助于抵御KoSpy。 谷歌发言人向BleepingComputer确认，Lookout确定的所有KoSpy应用都已从谷歌应用商店下架，相关的Firebase项目也已关闭。 “使用地区语言表明这是有针对性的恶意软件。在任何用户安装之前，2024年3月发现的最新恶意软件样本已从谷歌应用商店中移除，”谷歌告诉BleepingComputer。 “谷歌应用商店保护会自动保护安装了谷歌应用商店服务的安卓用户，使其免受已知版本的此类恶意软件的侵害，即使应用来自Play商店之外的来源。”   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文