HackerNews 编译，转载请注明出处： 通过从 Google Play 移除 24 个恶意应用，并阻断 50 万台受感染设备的通信，BadBox Android 恶意软件僵尸网络再次被成功阻断。 BadBox 僵尸网络主要针对廉价的 Android 设备，如电视流媒体盒、平板电脑、智能电视和智能手机。这些设备要么在出厂时就预装了 BadBox 恶意软件，要么通过恶意应用或固件更新被感染。 一旦感染，这些设备就会变成住宅代理，生成虚假的广告印象，将用户重定向到低质量域名，并利用设备的 IP 地址创建虚假账户。 去年 12 月，德国当局成功阻断了该国受感染设备的恶意软件。然而，几天后，BitSight 报告称，恶意软件在至少 192,000 台设备上被发现，显示出对执法行动的抵抗能力。 据估计，该僵尸网络已增长到超过 100 万次感染，影响了 222 个国家的 Android 设备，其中大部分位于巴西（37.6%）、美国（18.2%）、墨西哥（6.3%）和阿根廷（5.3%）。 HUMAN 的 Satori 威胁情报团队与 Google、Trend Micro、Shadowserver 基金会和其他合作伙伴合作，领导了最新的阻断行动。 由于僵尸网络的规模突然扩大，HUMAN 现在将其称为“BadBox 2.0”，标志着其运营的新时代。 HUMAN 表示，受 BadBox 2.0 影响的设备包括低价的“非品牌”、未认证的平板电脑、联网电视盒、数字投影仪等。所有这些设备都是在中国大陆制造的，并销往全球。HUMAN 观察到 BadBox 2.0 相关的流量来自全球 222 个国家和地区。 HUMAN 发现，僵尸网络由多个威胁组织支持，这些组织具有不同的角色或利益。这些组织包括 SalesTracker（基础设施管理）、MoYu（后门和僵尸网络开发）、Lemon（广告欺诈活动）和 LongTV（恶意应用开发）。 受感染的设备会定期连接到攻击者控制的命令和控制服务器，以接收新的配置设置和要在受感染设备上执行的命令。 HUMAN 告诉 BleepingComputer，他们与 Shadowserver 基金会合作，对 BadBox 2.0 的域名进行了阻断，防止 50 万台受感染设备与攻击者设置的命令和控制（C2）服务器通信。 当域名被阻断时，研究人员会接管该域名，允许他们监控所有连接到该域名的受感染设备，并收集关于僵尸网络的数据。由于受感染设备无法再连接到攻击者控制的域名，恶意软件进入休眠状态，从而有效阻断了感染。 HUMAN 还发现 Google Play 中有 24 个 Android 应用安装了 BadBox 恶意软件。其中一些应用，如“Earn Extra Income”和“Pregnancy Ovulation Calculator”（由 Seekiny Studio 开发），每个应用的下载量都超过 5 万次。 Google 已将这些应用从 Google Play 中移除，并添加了一条 Play Protect 强制规则，以警告用户并阻止在认证的 Android 设备上安装与 BadBox 2.0 相关的应用。 此外，这家科技巨头已终止了参与 BadBox 活动的广告欺诈的发布商账户，防止通过 Google Ads 进行盈利。 然而，需要注意的是，Google 无法对全球销售的非 Play Protect 认证的 Android 设备进行消毒，因此虽然 BadBox 2.0 已被阻断，但并未被完全消除。 只要消费者继续购买基于 Android 开源项目（AOSP）的设备，如非品牌的电视盒，这些设备缺乏官方的 Google Play 服务支持，就存在使用预装恶意软件的硬件的风险。 对此，Google 的 Android 安全与隐私工程与保证总监 Shailesh Saini 表示：“我们很高兴与 HUMAN 合作，采取行动对抗 BadBox 操作，保护消费者免受欺诈。受感染的设备是 Android 开源项目设备，而不是 Android TV OS 设备或 Play Protect 认证的 Android 设备。” “如果设备未获得 Play Protect 认证，Google 将不会记录安全性和兼容性测试结果。Play Protect 认证的 Android 设备会经过广泛的测试，以确保质量和用户安全。用户应确保启用了 Google Play Protect，这是 Android 的恶意软件保护功能，默认情况下在具有 Google Play 服务的设备上启用。”   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌在 Android 16 Beta 2 中推出了一项新的安全功能，旨在防止用户在通话期间更改敏感设置，以应对日益复杂的电话诈骗。 电话诈骗手段日益复杂，诈骗者常利用心理操纵技巧诱使受害者授予权限，从而安装恶意软件。常见手法包括引导受害者在通话中启用侧载或无障碍权限，使恶意应用能够绕过安全防护并控制设备。鉴于此，谷歌在 Android 16 中引入了“通话中防诈骗保护”功能。 阻止通话期间启用侧载权限：侧载允许应用安装其他应用，通常默认禁用以确保安全。Android 16 现在防止用户在通话期间启用此权限，进一步增强了安全性。 限制通话期间的无障碍权限：无障碍权限允许应用读取屏幕内容并代表用户执行操作，这常被恶意软件利用。Android 16 在通话期间阻止授予这些权限，进一步降低了未经授权控制的风险。 警告提示：用户在尝试绕过这些限制时，会收到关于潜在诈骗的明确警告，鼓励他们验证来电者的身份。 增强的确认模式：此功能扩展了 Android 15 中引入的保护措施，增加了更严格的防护，防止未经授权访问敏感设置。 这项新安全功能是谷歌在应对电话导向攻击交付（TOAD）诈骗等日益增长的威胁中，持续提升用户安全性的努力的一部分。通过将这些保护措施集成到 Android 16 Beta 2 中，谷歌旨在显著减少诈骗案件。 虽然诈骗者可能仍会指示受害者挂断电话后启用权限，但这一额外步骤足以扰乱其诈骗手段。此外，Android 16 还包括更广泛的安全增强功能，如防止意图重定向攻击和改进大屏设备的应用兼容性。 目前，防诈骗保护功能已在 Android 16 Beta 2 中上线，适用于 Pixel 设备（Pixel 6 及更新型号）。Android 16 的最终版本预计将于 2025 年第二季度晚些时候发布。随着这些功能的公开推出，用户可以期待一个更安全的移动体验，优先保护隐私和防止诈骗。 随着诈骗手段因人工智能的进步而变得更加复杂，谷歌的新方法标志着在降低风险和为用户提供强大防御网络威胁方面迈出了重要一步。   消息来源：Cybersecurity News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

在隐私保护为重要卖点的AI手机市场，苹果的“隐私云计算”和安卓的“混合AI”展开了隐私保护军备竞赛。 随着生成式AI技术逐渐融入手机核心功能，隐私问题变得愈加突出。苹果在6月10日的全球开发者大会上宣布推出“苹果智能”（Apple Intelligence），宣布与OpenAI合作将ChatGPT引入iPhone，标志着苹果在AI领域迈出了一大步，同时也引发了外界对苹果隐私保护的广泛关注。除了消费者外，苹果智能还面临着虎视眈眈的欧盟《数字市场法案》（DMA）。就在苹果全球开发者大会结束后不久，6月25日欧盟委员会通知苹果公司将对其展开调查，因为苹果公司（阻挠第三方应用商店的反市场竞争）行为违反了欧盟DMA法律，可能被处以全球总营业额10%的天价罚款。 苹果打造AI隐私新标准：隐私云计算 在全球开发者大会上，苹果的软件工程高级副总裁Craig Federighi表示，苹果的策略将成为AI隐私的新标准。苹果的“Private Cloud Compute (PCC)”系统将在自己的硬件服务器上运行，提供一种创新的隐私保护方式。“苹果通过PCC设计了一种新的端到端AI架构，扩展了用户iPhone的私人云环境，允许更好地控制数据。”Digital Barriers首席执行官Zak Doffman解释道。实际上，这意味着苹果可以掩盖AI请求的来源，防止包括苹果在内的任何人访问用户数据。Doffman表示，“理论上，这接近于云端AI的端到端加密。” Inrupt的安全架构主管Bruce Schneier称赞苹果为其AI打造了一个“令人印象深刻的隐私保护系统”。他指出，苹果的目标是确保AI的使用，即便在云端，也不低于手机自身的安全性。虽然这一系统仍存在一些不确定因素，但他认为苹果已经做得相当出色。 遗憾的是，虽然将隐私保护作为重要卖点，但“苹果智能”出师不利。上周五苹果公司宣布推迟在欧盟推出“苹果智能”和其他相关功能，原因是“《数字市场法案》带来的监管不确定性”。 安卓的“混合AI” 三星和谷歌的“混合AI”也采用本地和云端相结合的方法。GRC国际集团的AI主管Camden Woollven表示，这种方法旨在提供强大AI功能的同时，尽可能保护隐私。然而，这种混合AI处理方式仍存在风险，因为部分数据需要传输到云端服务器，可能更容易被截获或滥用。谷歌和其硬件合作伙伴则认为，隐私和安全是安卓AI方法的关注重点。三星电子的移动体验业务安全团队负责人Justin Choi解释说，其混合AI提供了数据控制和无与伦比的隐私保护。Choi表示混合AI在云端处理的服务器受严格的安全政策控制。谷歌的数据中心具备强大的安全措施，包括物理安全、访问控制和数据加密。谷歌产品信任副总裁Suzanne Frey表示，谷歌的AI功能依赖于其自身的云端模型，确保敏感信息不会被发送给第三方处理。 第三方风险 与安卓AI不同，“苹果智能”还面临第三方风险。事实上，苹果与OpenAI的合作一开始就引发了外界的广泛质疑，尤其是来自OpenAI联合创始人埃隆·马斯克的批评。马斯克在社交媒体X上称，苹果的ChatGPT驱动AI工具是“令人毛骨悚然的间谍软件”和“不可接受的安全漏洞”。他甚至威胁，如果苹果在操作系统层面整合OpenAI，其公司将禁止使用苹果设备。苹果反驳了马斯克的指控，称与OpenAI的合作不会影响iPhone的安全性，并强调了为用户隐私提供的保护措施，包括查询共享前需征得用户同意和IP地址的匿名处理。然而，安全专家仍对合作的隐私影响和“第三方风险”表示担忧。 AI手机的隐私保护竞赛 苹果和谷歌都在鼓励安全研究人员寻找其AI解决方案中的漏洞。但谷歌的方法更为封闭，其Secure AI Framework由旗下的网络安全公司Mandiant负责测试AI模型的防御能力。苹果则采用了相对开放的“可验证透明度”模式，为PCC的软件图像提供公开访问，让外部安全研究人员能够检查其软件功能并识别问题。随着苹果计划在即将推出的iOS 18更新中整合“苹果智能”和ChatGPT功能，隐私和安全问题将成为用户选择AI功能的重要考虑因素。正如专家Andy Pardoe所指出的，“苹果（宣称的）的隐私保护能力仍然是重视数据安全的用户的关注重点。” 选择苹果iOS还是安卓AI手机，最终取决于用户的信任。Pardoe建议用户评估操作系统在隐私特性、数据处理实践和透明度方面的整体权衡。目前从云端加密控制、安全测试开放度和透明度等方面来看，“苹果智能”在隐私保护方面的表现已经领先安卓。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/jowNVqYE1YXhq3hUCWB72g 封面来源于网络，如有侵权请联系删除

“透明部落”APT组织持续释放带有恶意软件的 Android 应用程序，作为针对相关个人的社会工程活动的一部分。 SentinelOne 安全研究员 Alex Delamotte在一篇报告中表示：“这些 APK 延续了该组织将间谍软件嵌入精选视频浏览应用程序的趋势，新的扩展针对的是手机游戏玩家、武器爱好者和 TikTok 粉丝。” 该活动被称为 CapraTube，由网络安全公司于 2023 年 9 月首次提出，黑客团队使用武器化的 Android 应用程序冒充 YouTube 等合法应用程序来投放名为 CapraRAT 的间谍软件，这是 AndroRAT 的修改版本，具有捕获各种敏感数据的能力。 透明部落 (Transparent Tribe) 疑似来自巴基斯坦，两年多来一直利用CapraRAT攻击印度政府和军事人员。该组织曾利用鱼叉式网络钓鱼和水坑攻击来传播各种 Windows 和 Android 间谍软件。 “本报告中重点介绍的活动表明，这种技术仍在继续使用，社会工程学借口不断更新，并努力最大限度地提高间谍软件与旧版本 Android 操作系统的兼容性，同时扩大攻击面以包括支持最新 Android 版本。”Delamotte 解释道。 SentinelOne 识别出的新恶意 APK 文件列表如下： 疯狂游戏（com.maeps.crygms.tktols） 性感视频（com.nobra.crygms.tktols） TikTok（com.maeps.vdosa.tktols） 武器（com.maeps.vdosa.tktols） CapraRAT 使用 WebView 启动 YouTube 或名为 CrazyGames[.]com 的移动游戏网站的 URL，同时在后台滥用其权限访问位置、短信、联系人和通话记录；拨打电话；截屏；或录制音频和视频。 假冒 TikTok 页面和以武器为主题的 CapraRAT YouTube WebView 该恶意软件的一个显著变化是不再请求READ_INSTALL_SESSIONS、GET_ACCOUNTS、AUTHENTICATE_ACCOUNTS 和 REQUEST_INSTALL_PACKAGES 等权限，这表明攻击者旨在将其用作监视工具而不是后门。 Delamotte 说：“2023 年 9 月活动与当前活动之间对 CapraRAT 代码的更新很少，但表明开发人员专注于使该工具更加可靠和稳定。” “决定使用较新版本的 Android 操作系统是合乎逻辑的，并且可能与该组织持续针对印度政府或军事领域的个人的目标一致，这些人不太可能使用运行旧版本 Android 的设备，例如 8 年前发布的 Lollipop。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/IESzCr121X58ch9kQ3oLVw 封面来源于网络，如有侵权请联系删除

近日，Cleafy 公司的威胁情报团队发现，专门针对安卓系统的Medusa银行木马软件再次“卷土重来”。该软件此前曾对法国、意大利、美国、加拿大、西班牙、英国和土耳其发起过攻击活动，沉寂了一年后，如今又出现了新的 Medusa 恶意软件变种。 Medusa 银行木马也被称为 TangleBot，是 2020 年发现的一种安卓恶意软件即服务（MaaS）操作。该恶意软件提供键盘记录、屏幕控制和短信操作功能。 虽然名称相同，但该行动不同于勒索软件团伙和基于 Mirai 的分布式拒绝服务（DDoS）攻击僵尸网络。 研究人员表示，这些恶意软件变种更轻巧，在设备上需要的权限更少，而且包括全屏覆盖和截图捕获。 最新活动 Cleafy 的研究人员表示，2023年7月就曾在依靠短信钓鱼（”smishing”）的活动中发现了Medusa 变种，它们通过滴注应用程序侧载恶意软件。当时共发现了 24 个使用该恶意软件的活动，研究人员将其归因于五个独立的僵尸网络（UNKN、AFETZEDE、ANAKONDA、PEMBE 和 TONY），这些僵尸网络负责发送恶意应用程序。 UNKN 僵尸网络由一群不同的威胁行为者运营，主要针对欧洲国家，特别是法国、意大利、西班牙和英国。 Medusa 僵尸网络和集群概述，资料来源： Cleafy 在这些攻击中使用的钓鱼应用程序包括一个虚假的 Chrome 浏览器、一个 5G 连接应用程序和一个名为 4K Sports 的假冒流媒体应用程序。 鉴于 2024 年欧洲杯正在进行中，选择 4K 体育流媒体应用程序作为诱饵似乎恰逢其时。 Cleafy 评论说，所有活动和僵尸网络都由 Medusa 的中央基础设施处理，该基础设施从公共社交媒体配置文件中动态获取指挥和控制（C2）服务器的 URL。 从秘密渠道检索 C2 地址，图片来源：Cleafy 新的 Medusa 变种 Medusa恶意软件的创建者减少了其在被攻击设备上的足迹，现在只要求一小部分权限。不过仍需要安卓的可访问性服务。 此外，该恶意软件还保留了访问受害者联系人列表和发送短信的功能。 所申请权限的比较，资料来源： Cleafy Cleafy 的分析显示，恶意软件作者删除了前一版本恶意软件中的 17 条命令，并添加了 5 条新命令： destroyo：卸载特定应用程序 permdrawover：请求 “Drawing Over “权限 setoverlay：设置黑屏覆盖 take_scr：截图 update_sec：更新用户秘密 值得注意的是，”setoverlay “命令允许远程攻击者执行欺骗性操作，例如使设备显示锁定/关闭，以掩盖后台发生的恶意 ODF 活动。 实际黑屏覆盖，图片来源：Cleafy 捕获屏幕截图的新功能也是此次新增的一个重要功能，它为威胁者提供了一种从受感染设备中窃取敏感信息的新方法。 总体而言，Medusa 移动银行木马的行动相比之前扩大了目标范围，并且行动更加隐蔽难以发现，为后续发起更大规模的攻击行动“奠定”了基础。 虽然 Cleafy 目前还未在 Google Play 上发现任何此类程序，但随着加入 MaaS 的网络犯罪分子数量不断增加，其传播策略也将变得更加复杂。   转自FreeBuf，原文链接：https://www.freebuf.com/news/404489.html 封面来源于网络，如有侵权请联系删除

威胁攻击者正在大量部署一种名为 “Rafel RAT “的开源恶意软件，攻击”过时“安卓设备。Check Point 安全研究人员 Antonis Terefos 和 Bohdan Melnykov 表示，共检测到超过 120 个使用 Rafel RAT 恶意软件的网络攻击活动。 据悉，Rafel RAT 恶意软件的攻击目标主要是政府和军事部门，大多数受害者位于美国、中国和印度尼西亚。其中一些攻击活动是由 APT-C-35（DoNot Team）等知名勒索软件组织发起，伊朗和巴基斯坦疑似为恶意活动的源头。 Rafel RAT 恶意软件目标品牌和型号非常广泛，包括三星 Galaxy、谷歌 Pixel、小米红米、摩托罗拉 One 以及 OnePlus、vivo 和华为的设备。 Check Point 分析大量网络攻击活动后发现，受害者运行的安卓版本已达到生命周期终点（EoL），其中 87.5% 运行安卓 11 及以上版本，只有 12.5% 的受感染设备运行 Android 12 或 13。鉴于很多”过时“版本不再接受安全更新，因此容易受到已知/已发布漏洞的攻击。 Rafel RAT 勒索软件 恶意软件传播途径多种多样，威胁攻击者通常会滥用 Instagram、WhatsApp、电子商务平台或杀毒应用程序等知名品牌，诱骗人们下载恶意 APK。 捆绑 Rafel RAT 安装程序的虚假应用程序（来源：Check Point） 安装过程中，Rafel RAT 恶意软件会请求访问风险权限，包括免于电池优化，允许在后台运行。值得一提的是，Rafel RAT 恶意软件支持的命令因变种而异，但一般包括以下命令： 勒索软件： 启动设备上的文件加密进程； wipe： 删除指定路径下的所有文件； 锁定屏幕： 锁定设备屏幕，使设备无法使用； sms_oku： 向命令与控制 (C2) 服务器泄漏所有短信（和 2FA 代码）； location_tracker： 向 C2 服务器泄露实时设备位置。 Rafel RAT 恶意软件的行动由中央面板控制，威胁攻击者可在此访问设备和状态信息，并决定下一步攻击步骤。 Rafel RAT 面板上受感染设备概览（来源：Check Point ） 最常发布的命令（来源：Check Point ） Rafel RAT 中的勒索软件模块旨在通过控制受害者的设备，并使用预定义的 AES 密钥加密他们的文件来执行勒索计划。 Rafel RAT 的加密方法（来源：Check Point ） 一旦获得了受害者设备的管理权限，Rafel RAT 勒索软件就能轻松控制设备的关键功能，例如更改锁屏密码和在屏幕上添加自定义信息（通常是赎金说明）。如果用户试图撤销管理权限，勒索软件就会立刻做出反应，更改密码并立即锁定屏幕。 针对权限撤销企图的反应机制（来源：Check Point ） Check Point 的研究人员检测到了几起涉及 Rafel RAT 勒索软件攻击活动，其中包括一次来自伊朗的攻击，该攻击在运行加密模块之前使用了 Rafel RAT 的其他功能进行侦查。之后，威胁攻击者很快就清除了通话记录，更改壁纸以显示自定义信息，锁定屏幕，激活设备振动，并发送包含赎金说明的短信，敦促受害者在 Telegram 联系威胁攻击者。 最后，安全专家强调想要抵御 Rafel RAT 恶意软件攻击，请避免从可疑来源下载 APK，不要点击电子邮件或短信中嵌入的 URL，并在启动应用程序前使用 Play Protect 扫描。   转自FreeBuf，原文链接：https://www.freebuf.com/news/404243.html 封面来源于网络，如有侵权请联系删除

谷歌将在今年晚些时候推出多种防盗和数据保护功能，其中一些功能仅适用于 Android 15 及以上版本的设备，另一些功能将推广到数十亿运行 Android 10 及以上版本的设备。 为了在设备被盗或丢失时保护您的个人敏感数据，一款名为 “盗窃检测锁 “的全新人工智能自动屏幕锁会在检测到与盗窃企图相关的动作时锁定屏幕，比如小偷从您手中抢走设备的动作。 为进一步确保窃贼无法访问您的敏感数据和应用程序，另一项名为 “离线设备锁 “的新功能会在窃贼断开设备与网络连接后不久，或在检测到太多次失败的身份验证尝试时自动锁定设备。 谷歌还宣布推出远程锁定功能，帮助那些安卓设备被盗的用户仅凭电话号码和安全挑战就能远程锁定智能手机或平板电脑。要使用该功能，您可以访问 android.com/lock了解详情。 谷歌副总裁 Suzanne Frey 表示：这为用户恢复账户信息和访问’查找我的设备’中的其他有用选项赢得了时间，包括发送完全出厂重置命令以彻底清除设备。 盗窃检测锁、离线设备锁和远程锁将通过今年晚些时候推出的 Google Play 服务更新在运行 Android 10 或更高版本的设备上提供。 正如在2024年谷歌I/O大会上所宣布的，新发布的安卓15系统还将升级出厂重置保护功能，通过在设置过程中要求用户提供谷歌账户凭证，使被盗设备很难或无法出售。 这次升级后，窃贼无法再强行重置被盗设备，这使得被盗设备无法出售，从而减少了手机盗窃的诱因。 在尝试从不受信任的位置访问或更改关键的谷歌账户和设备设置，如更改 PIN 码、访问密码钥匙或禁用防盗保护时，安卓系统也会要求输入 PIN 码、密码或生物识别身份验证。 同样，禁用 “查找我的设备 “或延长设备屏幕超时也需要输入 PIN 码或密码，或使用某种形式的生物识别验证。 这又增加了一层安全保护，旨在防止偷窃你设备的犯罪分子将你的设备 “解锁或无法在线追踪”。 此外，新的安卓版本还将包括所谓的 “私人空间”，可以使用自己选择的 PIN 码锁定，以防止窃贼访问存储在应用程序中的敏感数据，如健康或财务信息。 出厂重置保护更新和私人空间将在今年秋季推出 Android 15 时发布，而增强的身份验证保护功能将于今年晚些时候在部分设备上推出。 在 2024 年谷歌 I/O 大会上，公司还发布了新的 Android 15 和 Google Play Protect 功能，以防止诈骗、欺诈、间谍软件和银行恶意软件。   转自FreeBuf，原文链接：https://www.freebuf.com/news/401064.html 封面来源于网络，如有侵权请联系删除

近日，研究人员发现有恶意安卓软件伪装成谷歌、Instagram、Snapchat、WhatsApp 和 X（前 Twitter）从受攻击的设备上窃取用户的凭据。 SonicWall Capture Labs威胁研究团队在最近的一份报告中提到：这种恶意软件利用著名的安卓应用程序图标误导用户，诱使受害者在其设备上安装恶意应用程序。 该活动的传播媒介目前尚不清楚。但一旦被安装到用户手机上，就会要求用户授予它访问辅助服务和设备管理员 API 的权限。 一旦获得到这些权限，恶意应用程序就能迅速地控制设备，从而在受害者不知情的情况下执行从数据窃取到恶意软件部署等任意操作。 该恶意软件旨在与命令与控制（C2）服务器建立连接，以接收执行命令，使其能够访问联系人列表、短信、通话记录、已安装应用程序列表；发送短信；在网页浏览器上打开钓鱼网页，以及切换摄像头闪光灯。 这些钓鱼网址模仿了 Facebook、GitHub、Instagram、LinkedIn、微软、Netflix、PayPal、Proton Mail、Snapchat、Tumblr、X、WordPress 和雅虎等知名服务的登录页面。 博通公司旗下的赛门铁克公司（Symantec）就社交工程活动发出警告，该活动利用 WhatsApp 作为传播媒介，冒充与防御相关的应用程序，传播一种新的安卓恶意软件。 赛门铁克公司表示：成功发送后，该应用程序将以通讯录应用程序的名义安装自己。执行后，该应用程序会请求短信、通讯录、存储和电话的权限，随后将自己从视图中删除。 这也是继发现传播 Coper 等安卓银行木马的恶意软件活动之后的又一次发现，Coper 能够收集敏感信息并显示虚假的窗口覆盖，欺骗用户在不知情的情况下交出他们的凭据。 上周，芬兰国家网络安全中心（NCSC-FI）披露，有人利用钓鱼短信将用户引向窃取银行数据的安卓恶意软件。 该攻击链利用了一种名为 “面向电话的攻击发送（TOAD）”的技术，短信会敦促收件人拨打一个与讨债有关的号码。一旦拨通电话，另一端的骗子会先告知受害者该短信是诈骗短信，随后受害者将会在手机上安装杀毒软件进行保护。 此外，他们还会让接听电话的人点击第二条短信中发送的链接来安装所谓的安全软件，但实际上该软件是恶意软件，其目的是窃取网上银行账户凭证，并最终进行未经授权的资金转移。 虽然 NCSC-FI 没有确定这次攻击中使用的安卓恶意软件是哪一个，但很可能是 Vultr 。上月初，NCC 集团详细说明了 Vultr 利用几乎相同的程序渗透设备的情况。 最近几个月，Tambir 和 Dwphon 等基于安卓的恶意软件也在野外被检测到，它们具有各种设备收集功能，后者针对的是中国手机制造商生产的手机，主要面向俄罗斯市场。 卡巴斯基说：Dwphon作为系统更新应用程序的一个组件，表现出预装安卓恶意软件的许多特征。虽然确切的感染路径尚不清楚，但可以推测，受感染的应用程序被纳入固件可能是供应链攻击的结果。 俄罗斯网络安全公司分析的遥测数据显示，受到银行恶意软件攻击的安卓用户数量比上一年增加了32%，从57219人跃升至75521人。据报告，大部分感染发生在土耳其、沙特阿拉伯、西班牙、瑞士和印度。 卡巴斯基指出：虽然受个人电脑银行恶意软件影响的用户数量持续下降，但2023 年，遭遇移动银行木马的用户数量大幅增加。   转自FreeBuf，原文链接：https://www.freebuf.com/news/400593.html 封面来源于网络，如有侵权请联系删除

近日，NCC Group 研究员 Joshua Kamp发现 Vultur 安卓银行木马再一次“卷土重来”。 这一次，Vultur 新增了一系列新功能，开始通过加密其 C2 通信、使用多个加密有效载荷（这些有效载荷会在运行过程中解密）以及使用合法应用程序的“幌子”来实施其恶意行为。同时还改进了反分析和检测规避技术，使其操作者能够远程与移动设备交互并获取敏感数据。 据悉，Vultur 最早于2021年初被首次披露，该恶意软件能够利用安卓的可访问性服务API来执行其恶意行动。 据 NCC Group 观察，该恶意软件是通过谷歌Play商店上的木马程序传播的，它们伪装成身份验证器和生产力应用程序，诱导用户安装。这些插件应用程序是 “Brunhilda “的插件即服务（DaaS）的一部分。其他攻击链涉及利用短信和电话组合传播滴注程序，这种技术被称为面向电话的攻击交付（TOAD）。 Joshua Kamp 表示：该插件发出的第一条短信会引导受害者拨打电话。当受害者拨打该号码时，欺诈者会向受害者发送第二条短信，其中包括指向恶意程序的链接。 第一条短信的目的是通过指示收件人拨打号码以完成授权涉及大笔资金的虚假交易，从而诱发一种虚假的紧迫感。待受害者安装后，恶意程序就会执行三个相关的有效载荷（两个 APK 和一个 DEX 文件），这些有效载荷会将机器人注册到 C2 服务器，通过 AlphaVNC 和 ngrok 获取远程访问服务权限，并运行从 C2 服务器获取的命令。 Vultur 的一个显著特点是能够与受感染的设备进行远程交互，包括通过安卓的辅助服务进行点击、滚动和轻扫，以及下载、上传、删除、安装和查找文件。 此外，该恶意软件还能阻止受害者与预定义的应用程序列表进行交互，在状态栏中显示自定义通知，甚至禁用键盘防护以绕过锁屏安全措施。 Joshua Kamp 认为，Vultur最近的发展表明其重点已转向最大限度地实现对受感染设备的远程控制。Vultur能够发出滚动、轻扫手势、点击、音量控制、阻止应用程序运行等指令，甚至还集成了文件管理器功能，显然其主要目的是获得对受感染设备的完全控制权。 赛姆鲁团队近日披露了 Octo（又名 Coper）安卓银行木马向恶意软件即服务（malware-as-a-service）业务转型的进展，该软件正向其他威胁行为者提供信息窃取服务。 此外，该恶意软件还提供多种高级功能，包括键盘记录、拦截短信和推送通知，以及控制设备屏幕。它利用各种注入程序，通过显示伪造屏幕或覆盖层来窃取密码和登录凭证等敏感信息。此外，它还利用 VNC（虚拟网络计算）远程访问设备，增强其监控能力。 据统计，Octo 至少已入侵了 4.5 万台设备，这些设备主要分布在葡萄牙、西班牙、土耳其、美国、法国、荷兰、加拿大、印度和日本。 该恶意软件通过恶意软件即服务（MaaS）分发恶意 APK 包，冒充在线预订、计费和快递服务。 博通公司旗下的赛门铁克公司在一份公告中提到，该恶意软件 的目标是从受害者的设备上窃取银行信息、短信和其他机密信息。 麦克菲实验室对此进行了进一步研究说明，称该恶意软件已被嵌入到了 800 多个应用程序中。并且有超过 3700 台安卓设备已被入侵。麦克菲实验室称是一个名为 Elvia Infotech的印度网络组织开发了这种 MaaS 服务。 骗子通常会通过电话、短信、电子邮件或社交应用联系受害者，告知他们需要重新为其安排银行账户服务。这种欺诈攻击是一种典型而有效的欺诈方法。 受害者会被要求下载一个特定的应用程序，并提交个人信息。一旦这些信息落入骗子手中，他们就可以轻松地从受害者的银行账户中窃取资金。   转自Freebuf，原文链接：https://www.freebuf.com/news/396732.html 封面来源于网络，如有侵权请联系删除

研究人员在 Google Play 商店中发现了多个恶意 Android 应用程序，这些应用程序将运行安卓系统的移动设备转变为其他攻击者使用的住宅代理 (RESIP)。 PROXYLIB 第一个变体的两个应用程序 该调查结果来自 HUMAN 的 Satori 威胁情报团队，该团队表示，VPN 应用程序集群配备了一个 Golang 库，可以在用户不知情的情况下将用户的设备转变为代理节点。 该公司将该行动代号命名为PROXYLIB 。此后，这 29 个有问题的应用程序已被 Google 删除。 住宅代理是源自互联网服务提供商 (ISP) 提供的真实 IP 地址的代理服务器网络，通过中间服务器路由互联网流量，帮助用户隐藏其实际 IP 地址。 抛开匿名性的好处不谈，攻击者滥用它们的时机已经成熟，不仅可以混淆其来源，还可以进行广泛的攻击。 安全研究人员表示：“当攻击者使用住宅代理时，这些攻击的流量似乎来自不同的住宅 IP 地址，而不是数据中心的 IP 或黑客组织基础设施的其他部分。” “许多攻击者购买这些网络的访问权限以促进他们的行动。” 其中一些网络可能是由恶意软件运营商创建的，他们诱骗毫无戒心的用户安装虚假应用程序，这些应用程序本质上将设备围入僵尸网络，然后通过向其他客户出售访问权限来获利。 HUMAN 发现的 Android VPN 应用程序旨在与远程服务器建立联系，将受感染的设备注册到网络，并处理来自代理网络的任何请求。 这些应用程序的另一个值得注意的方面是，2023 年 5 月至 10 月期间确定的其中一个子集包含了 LumiApps 的软件开发套件 (SDK)，其中包含代理软件功能。在这两种情况下，恶意功能都是使用本机 Golang 库来实现的。 LumiApps 还提供一项服务，本质上允许用户上传他们选择的任何 APK 文件（包括合法应用程序），并将 SDK 捆绑到其中，而无需创建用户帐户，然后可以重新下载并与其他人共享。 这家以色列公司在其网站上表示：“LumiApps 帮助公司收集互联网上公开的信息。” “它使用用户的 IP 地址在后台加载知名网站的多个网页。” “这样做的方式不会打扰用户，并且完全符合 GDPR/CCPA。然后将网页发送给公司，公司使用它们来改进数据库，提供更好的产品、服务和定价。” 这些修改后的应用程序（称为 mods）在 Google Play 商店内外分发。LumiApps 将自身和 SDK 宣传为渲染广告的替代应用程序盈利方法。 有证据表明，PROXYLIB 背后的黑客组织正在通过 LumiApps 和 Asocks 出售对受感染设备创建的代理网络的访问权限，Asocks 是一家自称为住宅代理卖家的公司。 此外，为了将 SDK 融入到尽可能多的应用程序中并扩大僵尸网络的规模，LumiApps 根据通过已安装应用程序的用户设备路由的流量向开发人员提供现金奖励。SDK服务也在社交媒体和黑帽论坛上进行广告宣传。 Orange Cyberdefense 和 Sekoia 最近发表的研究将住宅代理描述为“分散但相互关联的生态系统”的一部分，其中代理软件服务以各种方式进行广告，从自愿贡献到专门商店和转售渠道。 “[就 SDK 而言]，代理软件通常嵌入在产品或服务中。”这些公司指出。用户可能没有注意到在接受嵌入的主应用程序的使用条款时将安装代理软件，这种缺乏透明度导致用户在没有明确了解的情况下共享他们的互联网连接。” 安装了 LumiApps SDK 的一款应用程序 Lumen Black Lotus Labs透露，报废 (EoL) 小型家庭/小型办公室 (SOHO) 路由器和物联网设备正受到名为 TheMoon 的僵尸网络的攻击，该僵尸网络为名为 Faceless 的犯罪代理服务提供支持。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/IcZSLkfOGPwJFI2EVkKhzw 封面来源于网络，如有侵权请联系删除