据外媒报道，Google 安全人员此前披露一款恶意软件 Lippizan，能够录制通话记录、拍摄照片、以及监视设备其它活动。近期，又有其它安全研究企业在线曝光国产智能手机厂商的设备中发现预装 Triada 木马。 研究人员 Dr.Web 指出，这是一种相当复杂的恶意软件，因为它可以直接将自身注入到了名叫 “ Zygote ”的 Android 父进程中。Zygote 在手机正常运行期间处于活跃状态，因此能够访问到任意应用程序的内容。在最新变种中，该木马已获得沙盒机制的加持、被更新得无法追踪。 Dr.Web 已经披露了部分被感染机型上的 Android 核心库（libandroid_runtime.so），包括 Leagoo M5 PlusLeagoo M8、Nomu S10、Nomu S20 等。目前，Dr.Web 怀疑 ROM 制作者、或者其他可访问到用于这些设备的 Android 代码的人别有用心，在设备出货前将恶意软件灌注到了这些设备中。 尽管设备制造商已被告知该恶意软件问题，但鉴于其主打低成本市场，预计它们不太可能会为这些设备推出任何安全更新。 稿源：cnBeta，封面源自网络；

加州于 2015 年 7 月 1 日生效的一项法律强制性要求手机制造商在智能手机中加入防盗功能，也就是一种关闭开关，允许手机被盗后机主可以远程关闭开关，甚至能够抵抗硬重置，使手机基本变得无用（但零部件仍然可以拆下出售）。自 2015 年以来所有 iPhone 手机和 Android 手机都包含这项功能。 旧金山地区检察官表示，智能手机推行关闭开关后手机盗案件数量下降明显，2016 年的智能手机相关的盗窃案数量比 2015 年下降 22%，比 2013 年的最高峰下降 50%。检察官称，这项法律使得盗窃智能手机不再是一件值得做的事情。 稿源：solidot奇客，封面源自网络；

当 Google 于两周前突然发布 Android 版 Samba 客户端的时候，并没有引发太多人的关注。借助它，用户可以方便地挂载 Windows 共享和移动文件。然而由于仅支持 SMBv1 协议，使得它难以成为一个理想的解决方案 —— 早在今年早些时候，Shadow Brokers 就爆料 NSA 已经发现了该协议中的漏洞，后续它又被 WannaCry、Petya、NotePetya 等勒索/恶意软件所滥用。 好消息是，Google 终于在今天放出了新版 Samba 客户端，禁用掉了 SMBv1 协议、并且启用了对 SMBv2 和 SMBv3 的支持。新版协议提供了额外的安全性，且不包含 SMBv1 中相同的漏洞。 考虑到这是一款在 GitHub 上开源的客户端，其实大家早在一周前就已经采取了行动，只是 Google 刚刚将它搬到 Play Store （传送门）。 [编译自：Neowin , via：GitHub] 稿源：cnBeta， 封面源自网络

据外媒 7 月 7 日报道，谷歌于近期发布了一份关于 Android 设备的安全更新报告，警示 Broadcom Wi-Fi 芯片存在一处远程代码执行漏洞 BroadPwn（CVE-2017-3544），或将影响数百万台 Android 设备以及部分 iPhone 机型。 BroadPwn 漏洞影响 Broadcom BCM43xx 系列的 WiFi 芯片，允许远程攻击者可在没有与用户交互的情况下，在具有内核特权的受损设备上触发漏洞、执行恶意代码。 据悉，Google 修补了数十个重要漏洞与 100 多个中等问题。此外，研究人员还修补了几个影响 Android Mediaserver 进程的关键漏洞，其中一些漏洞可能被攻击者远程执行恶意代码。值得注意的是，在 Mediaserver libhevc 库中的输入验证漏洞（CVE-2017-0540）能够允许攻击者使用特制文件在媒体文件与数据处理的过程中损坏内存。 目前，虽然 Google 已发布关于 Pixel 与 Nexus 设备的安全更新，但剩下的 Android 设备仍易遭受攻击。除非各原始设备制造商（ OEM ）能够立即检测并修复漏洞，不然无法完全解决当前问题。 附：《 Google 2017 年 7 月 Android 安全更新报告 》 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

趋势科技于近期发现一款极其狡诈的新型木马程序 “ANDROIDOS_XAVIER.AXM ” （简称 Xavier ）。该木马程序能够使用多种方式覆盖活动痕迹并在用户不知情的情况下发送用户数据至远程服务器上。 首先，这款恶意程序会嵌入到常规的应用中，例如铃声录制和图片编辑应用，受感染的用户绝大多数来自亚洲东南部国家，如越南、菲律宾和印度尼西亚，美国和欧洲的感染人数较少。趋势科技发现携带有该恶意程序的应用数量已经超过 800 款，而且部分应用在 Google Play 上的下载量已经超过数百万次。 而该恶意程序另一个狡诈的地方在于它们会嵌入到应用的代码中。在应用使用过程中并不会出现明显的恶意代码，因此在提交至 Play Store 审核的时候并不会触发任何 flag。然而，一旦从隐蔽的服务器下载和安装恶意代码，那么就会自动执行。而这些操作都是在用户不知情的情况下在后台进行操作的。 分析人员表示：“如果设备已经被 root，那么该恶意程序就会静默安装其他类型的 APK 文件。” 对比此前恶意广告木马，Xavier 的功能及特征更为复杂。首先他具备远程下载恶意代码并执行的能力。其次，它通过使用诸如字符串加密，Internet 数据加密和模拟器检测等方法来保护自己不被检测到。Xavier 窃取用户数据的行为很难被发现，它有一套自我保护机制，来躲避静态和动态的检测分析。此外，Xavier 还具有下载和执行其他恶意代码的能力，使它的威胁性大大增加。 稿源：cnBeta；封面源自网络

据外媒 6 月 8 日报道，卡巴斯基实验室研究人员在 Google Play 商店发现一款新型 Android 恶意软件 Dvmap，允许禁用设备安全设置、安装第三方恶意应用程序并在设备系统运行库时注入恶意代码以获取持久 root 权限。 有趣的是，恶意软件 Dvmap 为绕过 Google Play 商店安全检测，首先会将自身伪装成一款安全的应用程序隐藏在益智游戏 “ colourblock ” 中，然后在短时间内升级为恶意版本。据称，该款游戏在被移除前至少下载 50,000 次。 调查显示，木马 Dvmap 适用于 32 位与 64 位版本 Android 系统。一旦成功安装，恶意软件将尝试在设备中获取 root 访问权限并安装多个恶意模块，其中不乏包含一些中文模块与恶意软件 “ com.qualcmm.timeservices ” 。为确保恶意模块在系统权限内执行，该恶意软件会根据设备正在运行的 Android 版本覆盖系统运行库。而在完成恶意应用程序安装后，具有系统权限的木马会关闭 “ 验证应用程序 ” 功能并修改系统设置。 据悉，第三方恶意应用程序主要将受感染设备连接至攻击者 C&C 服务器并向其转交设备控制权限。目前，虽然研究人员仍对恶意软件 Dvmap 进行检测，但并未观察到源自受感染 Android 设备的任何恶意命令。为防止用户设备遭受感染，研究人员建议用户在安装任何应用程序前（即使从 Google Play 商店下载）始终验证应用权限并仅授予应用程序必要权限。 附: 卡巴斯基实验室分析报告《 Dvmap: 首款代码注入式 Android 恶意软件》 原作者：Mohit Kumar，译者：青楚 ，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

在同莫博士的访谈中，Android 联合创始人、Playground 的首席执行官 Adny Rubin 于近期宣布推出了全新高端 Android 智能手机 Essential Phone 以及 Essential Home 语音助手。此外，他还宣布 Ambient OS 智能家居平台将开源。 目前智能家居领域还处于各平台混战的情况，诸多可交互的标准和无线平台都尝试将家庭的所有设备整合在一起进行管理，而 Essential 正是抓住了这个契机推出了 Ambient OS。然而，这项决定同时也意味着该平台能够避免当前 Android 平台碎片化的问题，而碎片化导致部分用户错过重要升级和优化。 莫博士在谈及 Android 系统在全球各地划分成为各种版本，Rubin 反驳道多种版本反而是 Android 系统的强大之处。Rubin 说道：“ 没有系统能够获得 100% 升级。” Rubin 承认相对于苹果的 iOS 系统，Android 系统的升级率明显低很多，但他的新公司的 Ambient OS 已经提出了合理的解决方案。不过在本次访谈中，他并未透露具体的解决方案，只是说 “ 在后台托管更多的服务 ”。 稿源：cnBeta；封面源自网络

据媒体报道，谷歌近日下架了 Play 商店中 40 多款应用，因为这些应用会悄悄迫使 Android 用户点击广告。据悉这些应用累计下载量高达 3600 万次，安全研究人员表示，这应该是 Google Play 发生的最大一起广告欺诈案例，并且从官方应用商店中安装的角度来看，这也是最成功的恶意软件。 安全公司 Check Point 声称，这 41 个应用程序来自同一家韩国公司 Kiniwini，其应用中隐藏了非法的广告点击功能，且应用大部分是游戏。谷歌的 Bouncer 技术实际是用于阻止应用在 Play 商店上架，但这次显然出了问题。 Check Point表示，这些恶意应用会通过模仿 PC 浏览器的软件在后台秘密打开网页。一旦目标网站被打开，恶意软件就会使用 JavaScript 代码找到并点击 Google 广告基础架构上的横幅。每次广告被点击后，该韩国公司就会获得收入，Check Point 估计该公司每月可赚 30 万美元左右。 Kiniwini 公司最早的恶意软件版本要追溯到 2016 年 4 月份，这意味着其逃避了足足一年的审核。目前该韩国公司在官网上表示已经注意到谷歌下架了其软件，但他们计划重新发布代码更新过的游戏。 稿源：IT之家；封面源自网络

据外媒 25 日报道，安全研究人员于近期发现一种新型攻击手段 Cloak and Dagger（ “ 斗篷与匕首 ” ），允许黑客完全控制任意版本的 Android 设备（ 包括最新版本 7.1.2 ）、窃取私人敏感数据，其中包括击键与聊天记录、设备 PIN 码、在线帐户密码、OTP 动态口令与通讯录联系人信息等。 有趣的是，此攻击手段并非利用 Android 生态系统中的任何漏洞，而是滥用流行应用商城中广泛使用的合法权限访问 Android 设备上的某些功能。Cloak and Dagger 主要利用 Android 系统的两项基本权限： SYSTEM_ALERT_WINDOW（ “ draw on top ” ）：合法覆盖功能，允许应用程序在 Android 设备屏幕上覆盖其他应用程序。 BIND_ACCESSIBILITY_SERVICE（ “ a11y ” ）：帮助残障人士与视力受损的用户通过语音命令输入信息或使用屏幕阅读功能收听事件内容。 由于 Cloak and Dagger 无需利用任何恶意代码执行木马程序，因此黑客极易开发并提交恶意应用程序且不易被谷歌商店发现。据悉，黑客可在安装恶意应用程序后执行各种操作，主要包括高级劫持攻击、无限制访问击键记录、隐身网络钓鱼攻击、静默安装获得所有操作权限的 God-mode 应用、在保持屏幕关闭的状态下解锁手机进行任意操作等。 简而言之，黑客可以暗中接管用户 Android 设备并监视设备上的一举一动。目前，虽然研究人员已向 Google 披露该攻击手段，但由于此类问题源自 Android 操作系统设计缺陷且涉及两个标准功能的正常运行，因此该问题恐怕一时无法解决。安全专家建议用户始终从 Google Play 商店下载应用程序并在安装应用程序之前仔细检查权限设置。 原作者：Swati Khandelwal， 译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒报道，俄罗斯官员于周一宣布，他们已成功打击一个专门盗取银行账户资金的黑客组织。俄罗斯内务部表示，这个团伙被称为 “ Cron ”，他们通过恶意软件 Cron 感染俄罗斯 100 多万部 Android 手机并盗取银行客户超过 5000 万卢布（约合人民币 609 万）。 俄罗斯网络安全公司 Group-IB 称，恶意软件 Cron 感染 Android 用户的手机后，允许黑客向受害者的银行发送短信并要求其向每个受害者平均转出 140 美元。病毒将会在被感染的手机上隐藏来自银行的所有通知。研究人员表示，目前为止，Cron 已将资金存入 6000 个黑客银行帐户。它相当于一种木马病毒，通过文本信息和虚假应用中的恶意链接传播。 Group-IB 平均每天有 3500 名受害者下载如 Navitel、Avito 和 Pornhub 等应用的虚假版本。该计划在俄罗斯是成功的。据俄罗斯中央银行表示，部分原因是五分之一的俄罗斯成年人使用手机银行。Group-IB 情报部门兼负责人 Dmitry Volkov 表示：“ 根据 2016 年高科技犯罪趋势报告，移动 Android 木马造成的损失总额超过 600 万美元，比上一个报告期增加了 471％ ”。 据悉，该团队针对俄罗斯 50 家银行并计划在全球范围内扩张，目标主要为美国、德国、法国、新加坡、澳大利亚等国家的银行。黑客每月支付 2000 美元用于称为 Tiny.z 的木马，允许他们从世界各地的银行窃取资金。此外，该黑客组织大部分成员于去年 11 月 22 日被捕，其最后一名活跃成员于今年 4 月在圣彼得堡被捕。 稿源：cnBeta；封面源自网络