据卡巴斯基实验室报道，研究员发现了两个特别的 Android 木马版本，它们并非对用户设备进行攻击、窃取信息，而是攻击用户连接 Wi-Fi 网络的路由器。木马会暴力破解路由器 Web 管理界面的用户名和密码，并更改路由器设置中的 DNS 服务器地址，最终劫持流量重定向至恶意网站。 两种木马 acdb7bfebf04affd227c93c97df536cf;包名 – com.baidu.com 64490fbecefa3fcdacd41995887fe510; 包名 – com.snda.wifi 木马（ com.baidu.com ）伪装成百度安卓客户端，另外一个木马伪装成“ WiFi 万能钥匙”。 为了增加可信度，网络犯罪分子甚至创建了一个网站用于传播恶意软件，并将软件命名为“ WiFi 万能钥匙显密码版”，宣称为用户提供明文密码方便电脑连接网络。 执行过程 1、获取网络 BSSID 并与 C＆C 服务器进行通信。 2、获取互联网服务提供商名称，并选择用于劫持路由器的 DNS 地址。 三种 DNS 服务器地址 101.200.147.153 （作为默认选择） 112.33.13.11 120.76.249.59 3、使用词典暴力破解路由器 Web 管理界面的用户名和密码。 如： admin:admin；admin:123456； 根据输入字段的硬编码名称和木马试图访问 HTML 文档的结构来看，目前木马的 JavaScript 代码仅适用于 TP-LINK Wi-Fi 路由器 Web 管理界面。 4、更改路由器 DNS 设置劫持网络流量。 正常的 DNS 查询 被劫持的 DNS 查询 影响范围 路由器设置被篡改，受影响的不再是个体，所有连接 WiFI 网络的设备都将受影响。 从网络罪犯分子的 C＆C 网站的统计结果可知至少有 1280 台路由器受影响，受害者主要在中国地区。 解决办法 1、查看路由器 DNS 设置，是否存在以下流氓 DNS 服务器地址。 101.200.147.153 112.33.13.11 120.76.249.59 2、Web管理界面不要采用默认用户名和密码，以防止此类攻击发生。 稿源：HackerNews.cc 翻译整理，封面来源：百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

著名第三方安卓团队 “Cyanogen” 上周宣布关闭所有服务，Android 发行版 CyanogenMod 背后的开发团队则另立门户，改名为 LineageOS。随着 Cyanogen 的解散，Google 对 Android 生态系统的控制比以往任何时候更严密。Cyanogen 从来不是 Google 控制 Android 的严重威胁，但它的解散仍然代表着 Google 的一大胜利。 Cyanogen 或主要通过其资助的开源发行版 CyanogenMod 代表了 Android 的开放精神，为 Android 基础系统增加了定制性和新功能，而 Google 为了控制和防止 Android 的碎片化而将越来越的功能从开源系统 AOSP(Android Open Source Project)中剥离出去，在 Google 的保护伞下推出越来越多的闭源应用。Google 还制定了规则对制造商进行控制。 稿源：solidot 奇客，有删改；封面：百度搜索

据外媒报道，近日安全公司 Comodo 发现恶意软件 “Tordow” 已更新至 2.0 版本，主要针对俄罗斯用户获取手机 root 权限、盗取密码以及财务信息。 恶意软件 “Tordow“ 是一种手机银行木马，今年 2 月份首次被发现，通过第三方应用市场感染用户。“Tordow“ 木马除了从安卓手机上获取 root 权限外，还会执行一系列操作包括：拨打电话、控制短信、下载并安装程序、窃取登录凭证、访问联系人、文件加密、处理银行业务数据、删除安全软件等，并以此作为勒索。 Tordow 如何感染安卓手机 需要提及的是，Tordow 主要通过第三方应用商店进行传播，用户对于可信度不高的应用商店应该敬而远之。Comodo 表示，攻击者通过对正规应用进行逆向、注入恶意程序，然后重新上传至第三方商店，如冒充 Pokemon Go、 Telegram、地铁跑酷等应用上传。这些应用程序还可以通过社交媒体或其他网站传播，因此选择可信的第三方应用商店下载软件非常重要。 Tordow 是如何运行的 感染 Tordow 的恶意程序被安装后，木马首先会尝试获得 root 权限，然后连接到外部控制中心以等待攻击者的更多命令。从目前调查情况看，Tordow 主要针对银行账户，网络犯罪分子似乎对俄罗斯用户的财务信息很感兴趣。 稿源：本站翻译整理， 封面：百度搜索

Dirty COW （脏牛漏洞）是一种严重的 Linux 提权漏洞，在 2016 年 10 月已经向公众披露，允许攻击者获得目标系统上的 root 访问权限。据 趋势科技 12 月 6 日报道，研究员又发现了一种新的方法针对脏牛漏洞提升操作权限。该新方法可以直接将恶意代码注入正在运行的进程。 PoC 验证 该验证过程被上传到 YouTbe 视频分享网站上。 研究人员在一部 Android 手机上，安装了一个特殊验证应用。一旦运行，攻击者就可以利用脏牛漏洞窃取设备信息、更改系统设置（开启蓝牙和Wi-Fi热点）、获取地理位置，并可静默安装谷歌应用商店以外的应用。 原因 当执行一个 ELF 文件时，Linux 内核映射可执行文件到内存中，你再次打开相同的 ELF 可执行文件时，此映射将被重用。当利用脏牛漏洞修改正在运行的 ELF 文件后，ELF 文件的运行过程也会随着修改发生改变。在 Android 上该过程也适用，Android 运行时 ART 进程也可以用同样的方式进行动态修改。这允许攻击者修改其他进程、注入恶意代码。 漏洞修复 趋势科技的研究员称此前已将此漏洞告知谷歌。从视频中看这可看出在 11 月 3 日仍可复现。 2016 年 11 月 6 日 Android 发布了补丁修复该漏洞，但但修复没有成为强制性。 直到2016 年 12 月 5 日 Android 又发布更新，全面修复了该漏洞问题。 稿源：本站翻译整理，封面来源：百度搜索

特朗普承认社交媒体在他此次胜选中起了很大的作用，但他表示今后将不会再在 Facebook 和 Twitter 上那样活跃，不过 2017 年 1 月之前还是会再发布几条新动态。但美国的安全专家们很担心使用社交媒体将使得特朗普易于受到各种网络攻击，特别是特朗普正在使用的是安卓手机。以往 NSA 通常会为总统准备安全度更高的黑莓手机，但为奥巴马提供的却是一部 Galaxy S4 ，这部手机只有接打电话功能，因此不会存在受攻击的危险。 对于特朗普，NSA 要头疼了，因为他明确表示在入主白宫后将继续使用他的私人手机。但安全专家称特朗普的这一要求不可能会被准许。尽管专家们指出安卓系统比 iOS 系统更容易受到攻击，但对于美国总统而言，没有哪个系统是绝对安全的。因此 NSA 可能会为特朗普准备另外一部除了接打电话外没有其他功能的手机，这样，特朗普在正式成为总统后就不能再在手机里安装应用商店里的软件了。 稿源：cnBate.com，封面：百度搜索

RedNaga 安全团队研究员发现了新的 Android 间谍软件样本。该恶意软件具备了间谍软件的常用功能，并已经被发现用来针对政府组织，据调查该间谍软件与意大利一家为政府提供服务的软件公司 Raxir 有关。 该间谍软件具备了大多数间谍软件的常用功能：在系统启动后，程序会自动从桌面隐藏，开启或关闭GPS，控制设备静音，截取屏幕并存储，记录视频和音频文件，执行系统中的.dex文件，专门配置短信号码（873451679TRW68IO）将设备信息发送至指定的号码，伪装成谷歌服务的更新。 起初，专家们发现，Android 间谍软件与两个 IP 地址进行通信，而这两个 IP 过去曾被全球执法和情报机构间谍软件制造商 HackingTeam 使用过。此外，代码中还使用了意大利串，这表明有意大利人员参与了间谍软件的制作。 Hacking Team 是一家意大利公司，又称 HTS.r.l.，专注于研究监控技术，其销售的入侵和监控工具多供给全球各政府与执法机构，是为数不多的几家向全世界执法机构出售监控工具的公司之一 后由两位前 Hacking Team 公司员工和 Citizen Lab 实验室研究员 Bill Marczak 联合检查，最终确定软件不是 Hacking Team 公司研发制作的。 那么，谁开发了 Android 间谍软件？ 在一台服务器 SSL 证书中，研究人员发现了一个被反复引用的字符串“ Raxir ”，这很可能是间谍软件作者。 RAXIR 是一家意大利公司，成立于2013年，该公司开发的软件主要用于意大利执法调查、为司法鉴定工作提供服务。 研究员扫描互联网上 Raxir 的痕迹发现了另一个服务器“ProcuraNapoliRaxirSrv” 。“The Procura ” 是调查犯罪办公室，“ Napoli ”是意大利南部的热门城市。因而推断这间办公室是 Raxir 公司的客户之一。 该软件具有如 READ_CONTACTS，CAMERA，SEND_SMS，RECEIVE_SMS 等权限，这些都是常见的恶意软件行为。此外，该恶意软件的开发者试图欺骗反向工程师调用“软件更新”的活动标签。在 apk 文件中，字符串还经过加密，这使逆向工程分析变得更加复杂。 似乎一切真相大白，但有一个大的疑团出现，RAXIS 公司的间谍软件为何要感染政府人员的移动设备。 1、间谍软件失控，被其他人利用。 2、出于某种原因，政府需用来调查内部人员。 稿源：本站翻译整理，封面来源：百度搜索

Kryptowire 是由美国国防高级研究计划局 (DARPA) 和国土安全部 (DHS) 联合投资的公司，主要为美国国防、军事、情报机构提供移动应用程序的安全性分析、企业级移动设备安全解决方案等服务。 美国东部时间 11 月 15 日，Kryptowire 官网 发布公告 称，发现移动电话中的神秘固件可未经允许发送用户敏感数据。目前已确定几款 Android 设备装有这些固件，主要通过网络商城（如 亚马逊、百思买）销售，其中包括当下流行的低端手机 BLU R1 （亚马逊等各大商城有卖）。 这些设备将会积极传回用户个人信息，包括短信、联系人列表、通话记录、国际移动用户识别码（IMSI）和国际移动设备识别码（IMEI）等。固件能够针对用户短信远程匹配关键字，绕过 Android 权限模型、提权、执行远程命令，还能够进行远程重新编程。 Kryptowire 公司溯源发现该固件会周期性将收集到的信息多层次加密，通过安全的网络协议传回位于上海的服务器，调查显示服务器属于固件更新软件提供商——上海 AdUps （上海广升信息技术有限公司）。 更多详细分析情况请查阅 Kryptowire 官网公告。 **  BLU 产品公司约有 12 万手机受到影响，其余影响范围正在统计中。 稿源：本站翻译整理， 封面：百度搜索，图文无关。  

据外媒报道，研究人员发现继 Windows 和 Linux 设备之后，Android 设备也受到 Rowhammer RAM 攻击影响，即可提权获得设备 Root 权限，又能和现有漏洞如 Bandroid、Stagefright 相结合。Rowhammer 攻击是指在设备上反复访问一行内存，由重复的读取和写入操作引起电磁场变化，从而造成相邻内存行 0  和 1 比特翻转（bit flipping）的问题。这个漏洞可提供管理员权限或绕过软件安全措施。理论上，该攻击可以发生在任何基于 ARM 的设备上。 目前已发现 LG Nexus (4, 5, 5X)、 LG G4 、HTC 510 、小米 4 、三星 Galaxy (S4, S5, S6) 设备可复现该问题。 稿源：本站翻译整理，封面来源：百度搜索

据外媒报道，云安全服务商 Zscaler 分析了自家安全产品保护的设备发现，iOS 应用程序比 Android 应用程序泄露了用户更多的隐私信息。根据 Zscaler 对上季度 4500 万笔“交易”数据分析发现，大约 20 万起涉及应用泄露用户数据。 Zscaler 表示，它追踪了 2600 万起来自 iOS 设备（及 iOS 应用）事务，用户数据泄露的占比达到了 0.5%，即共有 13 万次操作。泄露的数据约有 72.3% 与用户的设备信息相关，27.5% 为地理位置坐标，仅有 0.2% 应用程序暴露 PII 数据。 iOS 用户普遍被人们认为 Android 更加安全，但事实上。 Zscaler 表示它追踪了 2000 万来自 Android 设备的事务，用户数据泄露的占比达到了 0.3%，只有 6 万次操作。泄露的数据中 58% 为设备元数据，39.3% 为地理位置坐标，3% 暴露 PII 数据。 稿源：本站翻译整理，封面来源：百度搜索

据外媒报道，一个新安卓恶意软件“双重实例”（ Dual Instance ）可以窃取用户 Twitter 登录凭据，并将其上传到在线服务器。该恶意软件允许用户同时登录多个帐户且目前只针对中国用户。由于中国的网络保护，用户不能直接使用 Twitter 需使用代理等技术，但并不是每个人都有足够的能力来安装 VPN 。该恶意软件就利用这点，向用户表示只需下载安装该“ Twitter ”应用即可越过网络限制登录账号。恶意软件使用沙箱环境来实现同时登录多个帐户，通过启动 VPN 连接 Twitter 服务器解决网络问题。因此一时间在中国网络论坛迅速传播。但暗中却收集 Twitter 登录凭证、上传服务器。 稿源：本站翻译整理，封面来源：百度搜索