讯 北京时间7月18日晚间消息，欧盟委员会今日对谷歌处以43.4亿欧元(约合50.4亿美元)的反垄断罚款。自2011年以来，谷歌凭借其在互联网搜索市场的主导地位，对Android设备厂商和移动运营商做出了一些非法限制。 在未来90天内，谷歌必须要有效地结束这种行为，否则最高将面临其母公司Alphabet全球日平均营收额5%的罚款。 欧盟反垄断专员玛格丽特·维斯塔格(Margrethe Vestager)对此表示：“如今，移动互联网占到了全球互联网流量的50%多。它改变了欧盟数百万消费者的生活。这场官司涉及到谷歌对Android设备厂商和移动运营商作出的三方面限制，以确保Android设备上的流量流向谷歌自家搜索引擎。谷歌的这种行为把Android作为一款工具来强化其在搜索市场的主导地位，这种行为限制了竞争对手的竞争和创新能力，影响了欧盟消费者享受移动市场竞争所带来的裨益。这违反了欧盟的反垄断法规。” 谷歌对Android设备厂商和移动运营商作出的三方面限制，包括， 要求Android设备厂商预装谷歌搜索App和Chrome浏览器，作为授权谷歌Play Store应用商店的条件； 向特定大型Android设备厂商和移动运营商支付费用，要求他们独家预装谷歌搜索App； 阻止预装谷歌应用的设备厂商销售预装“分叉版”Android的智能设备。 谷歌的战略及欧盟委员会的调查范围： 谷歌通过其旗舰产品——谷歌搜索引擎——来获取绝大部分营收。谷歌意识到，从台式机向移动互联网的转移将给谷歌搜索带来根本性的改变。为此，谷歌基于此开发了一套战略，以确保消费者在其移动设备上继续使用谷歌搜索。 2005年，谷歌收购了Android移动操作系统的原始开发者，并继续开发Android系统。如今，欧洲、乃至全球约80%的移动智能设备都运行在Android平台上。 当谷歌开发出新版Android，会将其源代码公布到互联网上。这原则上允许第三方下载，并修改源代码来创建“分叉版”Android。这些开放的源代码只涉及到Android系统的基本功能，而不包括谷歌专属的Android应用和服务。设备厂商要想获得谷歌的专属Android应用和服务，需要与谷歌签署协议。但在签署协议时，谷歌会作出许多限制。 谷歌主要对Android设备厂商和移动运营商作出了三方面限制，这让欧盟委员会感到担忧。谷歌的这种行为相当于把Android作为一款工具来强化其在搜索市场的主导地位。换言之，欧盟的该裁决并不是在质疑谷歌的开源模式或Android操作系统。 谷歌的主导地位： 欧盟委员会的调查结果显示，谷歌在互联网搜索市场、移动操作系统和Android应用商店市场处于主导地位。 谷歌搜索服务 在欧洲经济区，谷歌搜索处于主导地位。在欧洲经济区的大部分成员国，谷歌的搜索市场份额超过90%。这就为其他竞争对手进入该市场设置了较高的壁垒。 移动操作系统 Android是一款可授权的智能移动操作系统，这意味着第三方设备厂商可授权和运行Android。通过对Android的控制，谷歌在全球可授权智能移动操作系统市场(中国除外)的份额高达95%以上。这就为竞争对手设置了较高的进入壁垒。 Android应用商店 谷歌主导着全球(中国除外)Android应用商店市场，Play Store占到了全球Android应用下载量的90%以上。这同样为竞争对手的进入设置了较高的壁垒。 违反欧盟反垄断法： 谷歌的这种市场垄断行为违反了欧盟的反垄断法。谷歌对Android设备厂商和移动运营商作出了三方面限制，全都是为了进一步巩固其在搜索市场的主导地位。 1)非法捆绑谷歌搜索和谷歌浏览器 谷歌要求Android设备厂商预装谷歌搜索App和Chrome浏览器，作为授权谷歌Play Store应用商店的条件。 欧盟的调查结果显示，设备厂商承认，Play Store应用商店属于“必要”应用，但另外两种捆绑行为属于非法行为，即捆绑谷歌搜索应用Google Search和Google Chrome浏览器。 预装会给谷歌带来先天优势。通常，用户发现设备上预装搜索或浏览器应用，就会坚持使用它们。 例如，欧盟的调查结果显示，2016年通过Android设备(预装谷歌搜索和浏览器)进行的搜索，95%以上通过谷歌搜索进行的。 而在没有预装谷歌搜索和浏览器的Windows Mobile设备上，不到25%的搜索是通过谷歌搜索进行的，75%是通过微软必应搜索进行的，后者预装在Windows Mobile设备上。 与此同时，委员会还仔细评估了谷歌所谓的“绑定谷歌搜索应用和Chrome浏览器是有必要的”这一辩解，评估尤其侧重这样的捆绑可以允许谷歌从其在Android上的投资获利，并而后总结谷歌的这些辩解缺乏事实依据。谷歌仅靠Google Play Store这一项获得的年收入就高达数十亿美元，并从Android设备上收集大量对谷歌搜索和广告业务十分有价值的数据，并且公司仍旧可以不受限制地从搜索广告中获益。 2）基于独家预安装谷歌搜索的非法支付 谷歌为一些大型的设备制造商以及移动网络运营商提供了显著的金融激励措施，条件是他们在整个Android设备产品线中独家预安装谷歌搜索。通过大幅减少他们预安装竞争性搜索应用的动力，这极大地损害了竞争。 委员会的调查显示，竞争对手的的搜索引擎将无法在赔偿设备制造商或移动网络运营商损失的谷歌收益分成后仍然保持盈利。这是因为，即便竞争性搜索引擎预先安装在少数设备之上，他们仍必须向设备制造商或移动网络运营商赔偿他们所损失的谷歌为所有设备向其支付的收益分成。根据最近欧盟法院对英特尔的裁决，委员会在其他因素之外，一并考虑了给予了激励的条件、他们的金额、这些协议覆盖的市场份额以及持续时间等。 基于此，委员会认为，谷歌的行为在2011年到2014年期间已违法。2013年（在委员会着手调查此事之后），谷歌开始逐步解除这一要求。该违法行为于2014年有效终止。 委员会还仔细评估了谷歌所谓的“为整个的Android设备产品线独家预安装谷歌搜索给予金融激励是有必要的”这一辩解。对此，委员会驳回了谷歌的说法，即排他性的支付对于说服设备制造商和移动网络运营商为Android生态系统生产设备是必要的。 3）非法阻碍竞争性Android操作系统的开发和分销 谷歌一项不允许设备制造商使用任何未经谷歌许可的Android替代版本系统。为了能在他们的设备上预安装谷歌的专有应用，包括Play Store和谷歌搜索，制造商必须承诺不开发或销售任何运行Android替代版本系统的设备，哪怕就一台也不行。委员会发现，该行为在2011年影响恶劣，当时谷歌的Android移动操作系统在应用商店市场占据主导地位。 此举减少了开发和销售运行Android替代版本系统之设备的机会。比如，委员会发现有证据表明，谷歌的行为妨碍了许多大型制造商开发和销售运行亚马逊之Android替代版本系统——“Fire OS”——的设备。 这样一来，谷歌也阻断了竞争对手引入应用和服务的重要渠道，尤其是可以预安装在Android替代版本系统上的一般搜索服务。因此，谷歌的行为对用户造成了直接影响，使他们无法获得运行Android替代版本操作系统的进一步创新和智能移动设备。换句话说，由于这种行为，事实上，有效决定哪种操作系统可以繁荣发展的并非用户、应用开发商和市场，而是谷歌。 委员会还仔细评估了谷歌所谓的“这些限制对防止Android生态系统的碎片化是有必要的”这一辩解，并认为这些辩解也缺乏事实依据。首先，谷歌可以确保使用谷歌专有应用和服务的Android设备符合谷歌的技术要求，而不是阻碍Android替代版本系统的出现。其次，谷歌并未提供任何可信证据证明Android替代版本系统或可受技术故障影响或无法支持应用的使用。 委员会之决定总结认为，在移动互联网之重要性显著增长之际，这三种类型的违法行为构成了谷歌整体战略的一部分，从而以巩固谷歌在互联网搜索中的优势地位。 首先，谷歌的行为剥夺了竞争性搜索引擎与之竞争的可能性。捆绑行为确保了谷歌的搜索引擎和浏览器得以预先安装到几乎所有的谷歌Android设备上，而排他性支付严重打击了预安装竞争性搜索引擎的积极性。谷歌也妨碍了Android替代版本系统的开发，后者本可以为竞争性搜索引擎提供发展平台。谷歌的战略还阻止了竞争性搜索引擎从智能移动设备上收集更多数据，包括搜索和移动定位数据，此举帮助谷歌巩固了其在搜索引擎方面的优势地位。 此外，谷歌的行为也损害了互联网搜搜领域以外，更广泛的移动领域中的竞争和进一步创新。这是因为他们阻碍了其他移动浏览器与预安装的谷歌Chrome浏览器进行有效竞争。最后，谷歌妨碍了Android替代版本系统的开发，后者本也可以为其他应用开发商提供发展平台。 决定后果 鉴于违法行为的持续时间和严重程度，委员会决定对谷歌处以4,342,865,000欧元罚款。根据委员会2006年罚款准则，罚款根据谷歌在欧洲经济区（EEA）从Android设备上之搜索广告服务取得的收入价值来计算。 委员会的决定要求谷歌在作出决定后的九十天内以有效方式终止其非法行为。 至少，谷歌必须停止并不再重蹈以上三种类型之行为的任何一种。该决定还要求谷歌避免再采取具有与上述行为一致或相当的目标或效果的任何措施。 决定并未阻止谷歌建立一个合理、公平且客观的体系，以确保当前使用谷歌专有应用和服务的Android设备正常运行，但不应影响设备制造商生产运行Android替代版本系统之设备的自由。 谷歌须自行确保遵守委员会的决定。委员会将密切关注谷歌的合规性，并且谷歌有义务随时向委员会通报其将如何履行其义务。 若谷歌未能确保遵守委员会的决定，则谷歌须支付高达谷歌母公司Alphabet之全球平均日营业额5%的违约费。委员会或将另外决定此类违约费，费用从违约发生开始时计算。 最后，谷歌或可面临任何受其反竞争行为影响之个人和企业在欧盟成员国法院提起赔偿民事诉讼。新的欧盟反垄断赔偿指令如今可让反竞争行为受害者更加容易地获得赔偿。 其他的谷歌案件 2017年6月，委员会就谷歌向其自有的比较购物服务提供非法优势而滥用公司在搜索引擎领域的优势地位，对谷歌处以24.2亿欧元罚款。委员会目前仍在积极监督谷歌对该决定的遵守情况。 委员会还将继续调查谷歌对某些第三方网站展示来自谷歌竞争对手之搜索广告的能力的限制（即AdSense一案）。2016年7月，委员会得出初步结论，认为在涉及AdSense的一案中谷歌有滥用其优势地位之嫌。 背景 今天的决定主要针对Google LLC（前Google Inc.）和谷歌的母公司Alphabet。委员会曾于2015年4月就谷歌对Android操作系统和应用程序采取的行为提起诉讼，并于2016年4月向谷歌发出“异议声明”（Statement of Objections）。 《欧洲联盟运作条约》（TFEU）第102条和《欧洲经济区协议》第54条均命令禁止滥用优势地位。更多关于本调查的信息可参考欧盟委员会的竞争网站。   稿源：，稿件以及封面源自网络；

《华盛顿邮报》近日刊文称，谷歌可能面临来自欧洲监管机构的惩戒性罚款，因其强迫在自己和其它 OEM 设备制造商的 Android 智能手机上部署搜索和网络浏览工具。迫于压力，这可能导致这款全球市占率最高的移动操作系统，发生有史以来最重大的改变。知情人士 Margrethe Vestager 表示，预计罚款金额高达 数十亿美元。 她指出，这是多年以来，该地区反垄断机构第二次发现谷歌威胁到了它的企业竞争对手和消费者。 争议的核心，就是谷歌迫使 Android 设备制造商（手机/平板电脑）预装自己家的应用程序。 在欧盟看来，HTC 和三星等设备制造商面临着反竞争的选择 —— 将谷歌搜索设置为默认搜索引擎、并提供谷歌的 Chrome 浏览器，否则它们就无法访问 Android 热门应用程序商店。 如果缺乏该门户，Android 智能手机/平板电脑的使用者们，就无法轻松下载第三方商提供的游戏/其它应用，其中也包括谷歌竞争对手提供的服务。 Vestager 认为，这些安排旨在确保谷歌户籍保持互联网生态系统的主导地位。 即将作出的裁定，可能会禁止谷歌与设备制造商达成类似的应用安装协议。此外欧盟可能会迫使该公司为消费者提供一种更轻松的方式，以在手机或平板电脑上切换搜索引擎等服务。 对于此事，Vestager 发言人与谷歌方面都拒绝发表评论。不过谷歌发言人指出，当欧盟在 2016 年宣布调查是，该公司总法律顾问已经评价过： Android 带来了新一代的创新和跨平台竞争，无论如何，它是移动计算平台中最开放、最灵活、且最具差异性的。 对谷歌来说，制裁的后果是相当巨大的。毕竟搜索等包装工具，可为该公司提供捕获用户数据的方法，并向他们展示更多的广告。 消除了利润和洞察力的途径，可能促使谷歌重新考虑整个 Android 生态系统，向设备制造商免费授权以确保其被广泛使用，同时避开苹果等竞争对手。 代表谷歌的计算机与通信行业协会下属的竞争与欧盟监管政策副总裁 Jakob Kucharczyk 表示： 没有人会强迫你使用谷歌的应用，但如果你需要其中某一些、就必须全盘接受，这可确保谷歌从一开始就其提供开源资金支持。 欧盟的惩罚和调查，与美国形成了鲜明的对比。2013 年的时候，美国联邦监管机构对谷歌进行了更有限的调查，而不要求该公司做出重大改变。 Vestager 及其欧盟同僚，最近还因涉嫌逃税和范围隐私承诺，而对苹果和 Facebook 处以巨额罚金等惩戒措施。 不过苹果没有因为在其手机预装 app 而受到列斯审查，部分原因是它自行制造了设备。作为对比，Google 自家的 Pixel 手机，仅在 Android 市场中占有极少的份额。 曾对政府进行游说，希望对谷歌进行强有力的反垄断监管的 Yelp 公共政策高级副总裁 Luther Lowe 表示：“我们现在遇到的情况是，欧洲消费者有望享受比美国更好的保护”。 如果欧盟开始敲打 Android，那么美国反垄断机构（包括联邦贸易委员会 FTC 在内），或许也会迫于政治压力，而在此点燃对谷歌的调查。 谷歌坚持认为，该公司会确保 Android 作为一款开源操作系统，即便用户更换了设备，也能向他们提供一致的体验。但 Vestager 在 2016 年就表示，这妨碍了消费者寻找潜在更好的替代品。   稿源：网易科技，封面源自网络；

讯 北京时间7月4日早间消息，谷歌即将面临新一轮巨额反垄断罚款。在美国总统特朗普访问布鲁塞尔后，欧盟委员会最快可能于7月18日公布决定。 此次罚款数额可能将吸引媒体关注。去年，谷歌遭到了创纪录的24亿欧元（28亿美元）罚款。然而，持续最久的影响可能在于，谷歌如何解决人们对其Android系统的担忧。 消息人士透露，欧盟可能会要求谷歌调整手机业务的运作方式。谷歌可能将被迫解释，要如何做才能带来更多竞争。消息称，监管部门尚未就如何解决这方面问题与谷歌展开实质性讨论。 对于欧盟即将做出的决定，谷歌很可能通过欧盟法院提出挑战。这是阻止欧盟委员会决定生效的唯一途径，也将使局面产生更大的不确定性。谷歌可能会要求，欧盟关于Android的决定暂缓执行，直到上诉流程走完。这可能需要数年的时间。 消息人士透露，欧盟的公告可能会在7月18日左右公布。这是本月欧盟委员会四场会议之一召开的日期，欧盟委员通常会在这些会议上批准重要决定。欧盟监管部门可能希望避免在7月4日美国独立日，以及7月11日美国总统特朗普前往布鲁塞尔出席北约峰会时宣布决定，处罚美国最重要的公司之一，以免引发贸易纠纷。 谷歌和欧盟委员会拒绝就关于Android处罚的日期和内容发表评论。 凭借在Android生态内的中心地位，谷歌建立起了庞大的横幅广告和视频广告业务。市场研究公司eMarketer的数据显示，2018年谷歌在全球移动广告市场的份额将达到1/3，在美国以外该公司的销售额将约为400亿美元。如果被迫在Android业务上做出让步，那么谷歌可能会受到巨大损失。 布鲁塞尔欧盟消费者组织BEUC的奥古斯汀·雷纳（Agustin Reyna）表示：“消费者在移动搜索市场几乎看不到任何竞争。试图进入谷歌主导市场的公司会发现，由于无法匹配谷歌持有的数据量，因此很难参与竞争。”   稿源：，稿件以及封面源自网络；

TechWeb报道，6月25日消息，根据媒体报道，谷歌将会在即将推出的Android 9.0版本系统当中加入更好的生物识别API，为开发者提供更安全和方便的生物验证机制。 开发人员使用了BiometricPrompt API将生物识别身份验证集成到他们的应用程序中，应用程序和终端通过指纹、虹膜甚至面部识别来进行验证，同时PIN和密码的方式也会得到保留。 对此谷歌安全工程师Vishwath Mohan表示“生物识别认证机制正变得越来越流行，而且很容易明白其中的原因。它们比输入密码更快，比携带单独的安全密钥更容易，并且它们可以防止基于知识因素的身份验证的风险。” 在Android 9.0版本上，他们将会尽量车辆生物识别的安全性，相对较弱的身份验证方法将会被限制。同时他们将会提供一个通用平台和入口，方便开发者可以轻松的使用生物识别验证功能。   稿源：TechWeb，封面源自网络；

如“ 寄生虫 ”一般的恶意推广手段正在严重影响上千万手机用户的使用体验。近日，腾讯 TRP-AI 反病毒引擎捕获到一个恶意推送信息的软件开发工具包（SDK）——“寄生推”，通过预留的“后门”云控开启恶意功能，进行恶意广告行为和应用推广，以实现牟取灰色收益。目前已有 300 多款知名应用受“寄生推 ”SDK 感染，潜在影响用户超 2000 万。 超 300 多款知名应用遭“寄生推”病毒“绑架” 潜在影响超 2000 万用户 大量用户已经受到了“寄生推”推送 SDK 的影响。根据腾讯安全联合实验室反诈骗实验室大数据显示，已有数十万用户设备 ROM 内被植入相关的恶意子包，受到影响的设备会不断弹出广告和地下推广应用。此外，这些恶意子包可以绕过大多应用市场的安装包检测，导致受感染的应用混入应用市场，给用户和应用开发者带来重大损失。 更值得关注的是，感染“寄生推” SDK 的知名应用中，不仅类型丰富，更是不乏用户超过千万的巨量级软件，“我们估测超过 2000 万用户都受此威胁”，腾讯安全联合实验室反诈骗实验室技术工程师雷经纬表示。 （图：“寄生推”推送 SDK 恶意子包影响范围广） 传播过程酷似“寄生虫”：强隐蔽性+强对抗性 “寄生推”不仅影响范围广，在传播路径上更是“煞费苦心”。据雷经纬介绍，该信息推送 SDK 的恶意传播过程非常隐蔽，从云端控制 SDK 中实际执行的代码，具有很强的隐蔽性和对抗杀毒软件的能力，与“寄生虫”非常类似，故将其命名为“寄生推”。 具体表现为，首先，其开发者通过使用代码分离和动态代码加载技术，完全掌握了下发代码包的控制权；随后，通过云端配置任意下发包含不同功能的代码包，实现恶意代码包和非恶意代码包之间的随时切换；最后在软件后台自动开启恶意功能，包括植入恶意应用到用户设备系统目录，进行恶意广告行为和应用推广等，最终实现牟取灰色收益。 如何远离手机中的“寄生虫”？安全专家三大建议 为了帮助用户避免“寄生推”推送 SDK 的危害，腾讯手机管家安全专家杨启波提出以下三点建议：其一，SDK 开发者应尽可能的避免使用云控、热补丁等动态代码加载技术，要谨慎接入具有动态更新能力的 SDK，防止恶意 SDK 影响自身应用的口碑；其二，用户在下载手机软件时，应通过应用宝等正规应用市场进行，避免直接在网页上点击安装不明软件。 （图：腾讯手机管家查杀“寄生推”病毒） 最后，用户应养成良好的安全使用手机的习惯，借助腾讯手机管家等第三方安全软件对手机进行安全检测，移除存在安全风险的应用。作为用户手机安全的第一道防线，腾讯手机管家借助腾讯 TRP-AI 反病毒引擎的检测及分析能力，进一步增强整体防御能力。据了解，腾讯 TRP-AI 反病毒引擎，首次引入基于 APP 行为特征的动态检测，并结合AI深度学习，对新病毒和变种病毒有更强的泛化检测能力，能够及时发现未知病毒，变异病毒，和及时发现病毒恶意代码云控加载，更为智能的保护用户手机安全。 稿源：凤凰网，封面源自网络；

近日，EST 安全团队发布了一篇关于 Android 手机平台上虚假防病毒恶意软件的帖子。根据韩国媒体的报道，有人认为这些恶意软件可能与 123 组织（ Group 123）之间存在某种关联。在深入研究这种关联中，Talos 结合其调查报告以及 123 组织的历史背景，确定了 Android 远程管理工具（RAT）的两种变体： KevDroid 和 PubNubRAT。这两种变体具有相同的功能 ， 即窃取受感染设备上的信息（如联系人、短信和电话历史记录），并记录受害用户的电话。除此之外，两种变体的数据也都是使用 HTTP POST 发送到唯一的命令和控制（C2）服务器上的。 其中一种变体 KevDroid 使用了已知的 Android 漏洞（CVE-2015-3636），以便在受损的 Android 设备上获得 root 访问权限。 而 PubNubRAT（以 Windows 为目标）则是被确认托管在 KevDroid 使用的命令和控制服务器上。该恶意软件专门使用 PubNub 平台作为它的 C2 服务器。PubNub 是一个全球数据流网络（DSN）， 攻击者可以使用 PubNub API 向被攻击的系统发布命令。 Talos 表示他们目前只是大致识别了一些无法可靠确定真正联系的策略、技术和程序要素，还不能够确定这些变体与 123 组织之间的具体关联。 Talos 完整分析报告： 《 Fake AV Investigation Unearths KevDroid, New Android Malware 》 消息来源：talosintelligence，编译：榆榆，审核：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。  

趋势科技在本周三表示发现了一种新的 Android 挖矿恶意软件 HiddenMiner，它可以暗中使用受感染设备的CPU 计算能力来窃取 Monero。HiddenMiner 的自我保护和持久性机制让它隐藏在用户设备上滥用设备管理员功能 （通常在 SLocker Android 勒索软件中看到的技术）。另外，由于 HiddenMiner 的挖矿代码中没有设置开关、控制器或优化器，这意味着一旦它开始执行挖矿进程，便会一直持续下去，直到设备电量耗尽为止。鉴于 HiddenMiner 的这种特性，这意味着它很可能会持续挖掘 Monero，直到设备资源耗尽。根据研究人员的说法，HiddenMiner 是在第三方应用商店发现的，大部分受害用户都位于中国和印度。 HiddenMiner 的持续挖矿与导致设备电池膨胀的Android 恶意软件 Loapi 类似，不仅如此，HiddenMiner 还使用了类似于撤销设备管理权限后 Loapi 锁定屏幕的技术。 研究人员通过进一步钻研 HiddenMiner，发现 Monero 矿池和钱包与恶意软件连接，并获悉其中一家运营商从钱包中提取了 26 XMR（截至 2018 年 3 月26 日价值为 5,360 美元）。 图 1 一个 Monero 钱包地址状态的屏幕截图 感染链与技术分析 HiddenMiner 伪装成了合法的 Google Play 商店应用更新程序，使用了与 Google Play 商店相同的图标。HiddenMiner 随着 com.google.android.provider 弹出，并要求用户以设备管理员身份激活它。一旦获得许可，HiddenMiner 将在后台开始挖掘 Monero。 图 2 恶意应用程序的屏幕要求用户以设备管理员身份激活它 HiddenMiner 使用多种技术将自己隐藏在设备中，例如清空应用程序标签并在安装后使用透明图标。一旦受害者以设备管理员身份将其激活，它将通过调用 “ setComponentEnableSetting（）”从应用程序启动器隐藏自己。需要注意的是，恶意软件会自行隐藏并自动以设备管理员权限运行，直到下一次设备引导。 DoubleHidden Android 的广告也采用了类似的技术。 图 3 安装后的空应用程序标签和透明图标（左），然后一旦授予设备管理权限就会消失（右） 除此之外，HiddenMiner 还具有反仿真功能，可绕过检测和自动分析。它会通过滥用 Github 上的 Android 模拟器检测器来检查自身是否在模拟器上运行。 图 4 代码片段显示了 HiddenMiner 如何绕过沙箱检测和 Android 模拟器 图 5 代码片段显示了 HiddenMiner 如何挖掘 Monero 在 HiddenMiner 的案例中，受害用户无法将 HiddenMiner 从设备管理员中删除，因为当用户想要停用其设备管理员权限时，恶意软件会利用技巧来锁定设备的屏幕。因为它利用了 Android 操作系统中发现的缺陷（不包括 Nougat 「Android 7.0」和更高版本的设备，因为 Google 通过减少设备管理员应用程序的权限解决了这一问题。） 的确，HiddenMiner 是网络犯罪分子如何驾驭加密货币挖掘浪潮的又一例证。对于用户和企业而言，提高网络安全意识刻不容缓：仅从官方应用市场下载 APP 、定期更新操作系统以及授予应用程序权限时更加谨慎 等都能在一定程度上减小感染恶意软件的几率。 原文报告及解决方案： 《Monero-Mining HiddenMiner Android Malware Can Potentially Cause Device Failure》 消息来源：Trendmicro，编译：榆榆，审核：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

上周，一名新西兰男子从 Facebook 上拖回了自己的数据档案，结果惊讶地发现该社交网络一直在收集 Android 设备上的许多信息。Dylan McKay 查看了其中有关已存储的联系人部分，才知道 Facebook 在大约两年的时间里，一直在收集它手机上与呼叫有关的数据，包括姓名、电话号码、以及接打通话的时长。 如上图所示，为了方便地追踪用户的电话和消息，Facebook 在 2017 年 10 月份之前就偷偷摸摸地这么做了，其利用了旧 Android API 的权限处理方式。 此外，许多人遇到了与 Dylan McKay 一样的问题，并与其展开了讨论。 外媒 ArsTechnica 编辑 Sean Gallagher 在查看了自己的档案后发现，其中包含的通话记录（以及短彩信等）数据，甚至包含了自己在 2015 – 2016 年间用过的一部分 Android 设备。 在回应 ArsTechnica 有关该数据收集的邮件提问时，一名 Facebook 发言人答复到，这是为了方便 app 与服务用户，使其轻松找到想要联系的人。 “所以当设备首次注册时，一款消息或社交 app 是会这么做的（上传手机通讯录），这是一种在业内被广泛采用的做法”。 不过该发言人指出，联系人的上传是可选的，并且在 app 安装期间明确列出了这一权限。如果想要在个人资料里删除联系人数据，可以借助 Web 浏览器端的一款工具。 据悉，手机通讯录是 Facebook 好友推荐算法的一部分。在最近面向 Android 与 Facebook Lite 设备的 Messenger 应用程序中，其已经向用户发出更明确的请求，以访问呼叫和短信日志。 即便用户未授予许可，Facebook 的移动应用多年来无意中都这么做了，因为旧版本的 Android（尤其是 4.1 Jelly Bean 之前）的默认权限处理方式存在缺陷。 直到 16 版本，Android API 的权限结构才发生了改变。遗憾的是，如果 Android 应用程序被写入了 API 的早期版本，就可以绕过这一限制，而 Facebook 就故意这么做了。 Google 在 2017 年 10 月份弃用了 Android API 4.0，这也是 Facebook 用户数据中发现的通话元数据的截止时间点。相比之下，苹果 iOS 从未允许对用户数据进行静默访问。 稿源：cnBeta，封面源自网络；

近日，Palo Alto Networks 的安全专家发现了一种名为 TeleRAT 的新型 Android 木马，该木马使用 Telegram 的 Bot API 来与命令和控制（C＆C）服务器进行通信和窃取数据。目前安全专家猜测 TeleRAT 可能是由伊朗的几位威胁攻击者操作运营。 其实另一个被称为 IRRAT 的 Android 恶意软件与 TeleRAT 有相似之处，因为它也利用了 Telegram 的 bot API 进行 C＆C 通信。IRRAT 能够窃取联系人信息、在设备上注册的 Google 帐户列表、短信历史记录，并且还可以使用前置摄像头和后置摄像头拍摄照片。这些被盗的数据存储在手机 SD 卡上的一些文件中，由 IRRAT 将它们发送到上传服务器。IRRAT 将这些行为报告给 Telegram bot 后，将其图标从手机的应用菜单中隐藏起来，在后台运行着等待命令。 而 TeleRAT Android 恶意软件则以不同的方式运行着：它在设备上创建两个文件，其中包含设备信息（即系统引导加载程序版本号，可用内存和大量处理器内核）的 telerat2.txt，以及包含电报通道和一系列命令的 thisapk_slm.txt 。 TeleRAT 一旦被成功安装，恶意代码就会通过电报 Bot API 发送消息来通知攻击者，并且该恶意软件还启动了后台服务，用于监听对剪贴板所做的更改。除此之外，TeleRAT 每 4.6 秒钟从 bot API 中获取更新，以监听用波斯语编写的几条命令。以下为两种获取更新的方式： 1、 getUpdates 方法（公开发送给 bot 的所有命令的历史记录，其中包括命令发起的用户名） 2、Webhook 方法（bot 更新可以被重定向到一个通过 Webhook 指定的HTTPS URL）。  TeleRAT 功能用途极为广泛，如以下： 接收命令来抓取联系人、位置、应用程序列表或剪贴板的内容； 接收收费信息、 获取文件列表或根文件列表; 下载文件、创建联系人、设置壁纸、接收或发送短信; 拍照、接听或拨打电话、将手机静音或大声; 关闭手机屏幕、 删除应用程序、导致手机振动、从画廊获取照片； TeleRAT 还能够使用电报的 sendDocument API 方法上传已窃取的数据，这样就避开了基于网络的检测。 TeleRAT 传播 TeleRAT 恶意软件除了通过看似合法的应用程序分发到第三方 Android 应用程序商店外，也通过合法和恶意的伊朗电报渠道进行分发。根据 Palo Alto Networks 统计，目前共有 2293 名用户明显受到感染，其中大多数（82％）拥有伊朗电话号码。 TeleRAT 被认为是 IRRAT 的升级版本，因为它消除了基于已知上传服务器流量网络检测的可能性，这是由于所有通信（包括上传）都是通过电报 bot API 完成的。 除了一些额外的命令外，TeleRAT 与 IRRAT 的主要区别还在于TeleRAT 使用了电报 sendDocument API 方法上传已窃取的数据 。 Palo Alto Networks 完整分析报告见： 《 TeleRAT: Another Android Trojan Leveraging Telegram’s Bot API to Target Iranian Users 》 消息来源：Security Affairs，编译：榆榆，审核：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

外媒 3 月 14 日消息，安全公司 Check Point 本周披露了一个名为 RottenSys 的恶意软件家族 —— 通过伪装成系统 Wi-Fi 服务，增加广告收入。根据调查，自 2016 年起，该移动广告软件已感染了近 500 万台 Android 设备，其中受影响较大的包括荣耀、华为以及小米。 Check Point 称最近小米红米手机上的一个不寻常、自称为系统 Wi-Fi 服务的应用程序引起了其研究人员的注意。他们发现该应用程序不会向用户提供任何安全的 Wi-Fi 相关服务，反而会要求许多敏感的 Android 权限，例如与 Wi-Fi 服务无关的易访问性服务权限、用户日历读取权限等等。 根据 Check Point 的调查，恶意团伙利用 RottenSys 谋取暴利，每 10 天的收入能达到 115,000 美元。目前，感染排名靠前的手机品牌有华为荣耀、华为、小米、OPPO、vivo 等。并且需要注意的是，由于 RottenSys 的功能比较广泛，攻击者还可能会利用它来做出一些远比广告更具破坏性的行为。 RottenSys 恶意软件部分细节： 恶意软件实施两种逃避技术：第一种技术包括在设定时间内延迟操作；第二种技术使用不显示任何恶意活动的 dropper。一旦设备处于活动状态且安装了 dropper，与之联系的命令和控制（C＆C）服务器将会向其发送活动所需的其他组件列表。 恶意代码依赖于两个开源项目： 1、RottenSys 使用一个名为 Small 的开源 Android 框架（github.com/wequick/small）为其组件创建虚拟化容器。通过这种方法，恶意软件就可以运行并行任务，从而攻破 Android 操作系统的限制。 2、为了避免 Android 系统关闭其操作，RottenSys 使用了另一个名为 MarsDaemon 的开源框架（github.com/Marswin/MarsDaemon）。 不过虽然 MarsDaemon 保持流程活跃，但它也阻碍了设备的性能并且消耗了电池。 Check Point 调查报告： 《 RottenSys: Not a Secure Wi-Fi Service At All 》 消息来源：Security Affairs.，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。