一个名为 InTheBox 的攻击组织正在俄罗斯网络犯罪论坛上发布 1894 个网络注入（网络钓鱼窗口的覆盖）的清单，用于从银行、加密货币交易所和电子商务应用程序中窃取凭据和敏感数据。 这些覆盖层与各种 Android 银行恶意软件兼容，并模仿由数十个国家/地区主要组织运行的应用程序。 InTheBox 商店为各种银行恶意软件提供范围广泛的 Web 注入，包括 Alien、Ermac、Octopus、MetaDroid、Cerberus 和 Hydra。数百次注入的打包价格从近 4000 美元到 6500 美元不等。单个 Web 注入的价格已从每个 50 美元降至 30 美元。 自 2020 年 2 月以来，InTheBox 一直是经过验证的 Android 移动应用程序网络注入供应商。数量如此之多且价格低廉，使网络犯罪分子可以专注于其活动的其他部分（例如：恶意软件的开发），并将攻击范围扩大到其他地区。 网络注入如何工作？ InTheBox 的网络注入通常以压缩包的形式出现，其中包括一个 PNG 格式的应用程序图标和一个 HTML 文件。该 HTML 文件包含 JavaScript 代码，负责使用伪装成移动应用程序输入表单的恶意覆盖界面收集敏感信息。 CRIL 研究人员表示，注入过程从一个覆盖界面开始，该界面要求受感染的用户输入他们的手机银行详细信息，例如用户 ID、密码和手机号码。 输入这些凭据后会加载一个覆盖界面，诱使用户透露他们的信用卡号、有效期和 CVV 信息，然而合法的应用程序根本不需要输入这些。 如何保持安全？ 研究人员建议遵循以下网络安全最佳实践，以防止攻击者访问他们的个人和财务信息。 仅从官方应用商店等可信来源下载和安装软件。 仅下载获得许可的防病毒软件并始终保持更新。 谨慎打开手机上未知来源的消息或电子邮件收到的任何链接。 在您的 Android 设备上启用 Google Play Protect 以保持保护。 授予任何应用程序权限时请谨慎行事。 让您的设备、操作系统和应用程序保持最新。 密切注意最新软件更新中提供的安全功能，并警惕任何要求输入额外信息（如支付卡详细信息）的提示。 如果您怀疑您的设备可能已被感染，请尝试恢复出厂设置或删除可疑应用程序。     转自 Freebuf，原文链接：https://www.freebuf.com/news/356329.html 封面来源于网络，如有侵权请联系删除

名为StrongPity的高级持续性攻击 (APT) 组织通过一个冒充名为Shagle的视频聊天服务的虚假网站，以木马化版本的 Telegram 应用程序瞄准 Android 用户。 “一个模仿 Shagle 服务的山寨网站被用来分发 StrongPity 的移动后门应用程序，”ESET 恶意软件研究员 Lukáš Štefanko在一份技术报告中说。“该应用程序是开源 Telegram 应用程序的修改版本，使用 StrongPity 后门代码重新打包。” StrongPity，也被称为 APT-C-41 和 Promethium，是一个从 2012 年开始活跃的网络间谍组织，其大部分行动集中在叙利亚和土耳其。卡巴斯基于 2016 年 10 月首次公开报告了该组织的存在。 此后，该组织的活动范围扩大到涵盖非洲、亚洲、欧洲和北美的更多目标，入侵利用水坑攻击和网络钓鱼来激活杀伤链。 StrongPity 的主要特征之一是它使用假冒网站，这些网站声称提供各种软件工具，只是为了诱骗受害者下载受感染的应用程序版本。 2021 年 12 月，Minerva Labs披露了一个三阶段攻击序列，该序列源于看似良性的 Notepad++ 安装文件，安装后将后门上传到受感染的主机上。 同年，专家观察到StrongPity 首次部署了一款 Android 恶意软件，它能够入侵叙利亚电子政府门户网站并将官方 Android APK 文件替换为流氓文件。 ESET 的最新发现突出了一种类似的作案手法，该作案手法旨在分发更新版本的 Android 后门有效荷载，该后门有效荷载能够记录电话呼叫、跟踪设备位置并收集 SMS 消息、通话记录、联系人列表和文件。 此外，授权恶意软件可访问权限使其能够从各种应用程序（如 Gmail、Instagram、Kik、LINE、Messenger、Skype、Snapchat、Telegram、Tinder、Twitter、Viber 和微信）中窃取信息。 此次后门功能隐藏在 2022 年 2 月 25 日左右可供下载的合法版本的 Telegram Android 应用程序中。也就是说，虚假的 Shagle 网站目前不再活跃。 也没有证据表明该应用程序已在官方 Google Play 商店中发布。目前尚不清楚潜在受害者是如何被引诱到假冒网站的。 Štefanko 指出：“恶意域名是在同一天注册的，因此山寨网站和假冒的 Shagle 应用程序可能从那天起就可以下载了。” 攻击的另一个值得注意的方面是 Telegram 的篡改版本使用与正版 Telegram 应用程序包名称相同，这意味着后门变体无法安装在已经安装 Telegram 的设备上。 Štefanko 说：“这可能意味攻击者首先诱导受害者，并迫使他们从设备上卸载 Telegram（如果安装了 Telegram），或者该活动的重点是很少使用 Telegram 进行通信的国家。”     转自 Freebuf，原文链接：https://www.freebuf.com/news/354887.html 封面来源于网络，如有侵权请联系删除

据The Hacker News报道，攻击者正在想法设防绕过 Google Play 商店的安全保护措施。安全研究人员也发现了一个以前未记录的Android滴管木马，该木马目前正在开发中。 荷兰网络安全公司ThreatFabric的Han Sahin 在一份报告中指出，这种恶意软件试图使用一种从未见过的新技术来感染设备，以传播极其危险的Xenomorph银行木马，允许犯罪分子在受害者的设备上进行欺诈攻击。 该恶意软件被ThreatFabric命名为BugDrop，是一种dropper应用程序，其设计目的十分明确，就是为了应对Android系统更新引入的新功能：使恶意软件难以向受害者请求辅助功能服务权限。 ThreatFabric认为BugDrop恶意软件的始作俑者是臭名昭著的“Hadoken Security”网络犯罪组织，该组织也是Xenomorph /Gymdrop 等Android等系列恶意软件的幕后黑手。 从以往滴管木马的表现来看，这类银行木马通常会利用无害的滴管应用程序部署在Android系统上，滴管程序则会伪装成具有生产力或比较实用的应用程序，用户一旦安装，就会诱骗用户授予侵入性权限。 例如可读取手机屏幕内容，并代表用户执行操作的Accessibility API已经被攻击者广泛滥用，攻击者可以借此捕获账户密码、财务信息等较为敏感的用户数据。具体实现方式为，当受害者打开所需的应用程序（例如加密货币钱包）时，木马会注入从远程服务器检索到的假冒登录表单。 鉴于大多数这些恶意应用程序都是侧载，只有在用户允许从未知来源安装时才有可能发生这种情况，因此谷歌在 Android 13 中采取了阻止辅助功能 API 访问，从应用程序商店外部安装应用程序的步骤。 但这并没有阻止对手试图绕过这个受限的安全设置。输入 BugDrop，它可以伪装成 QR 码阅读器应用程序。安全人员亲自进行测试，可通过基于会话的安装过程部署恶意有效负载。安全人员进一步强调，“攻击者正在使用这类恶意软件，能够在受感染的设备上安装新的APK，以测试基于会话的安装方法，并将其整合到更精细的 dropper 中，这在未来是很有可能会发生的事情。” 如果上述变化成为现实，可能会使银行木马更具威胁性，甚至能够绕过安全防护体系，给用户造成严重损失。 ThreatFabric公司也表示，“随着BugDrop逐步完善当前存在的各种缺陷，攻击者在与安全团队、银行机构的战争中拥有一种全新的高威力的武器，足以击败谷歌目前采用的解决方案，这需要引起谷歌和安卓的警惕。” 转自 FreeBuf，原文链接：https://www.freebuf.com/news/342264.html 封面来源于网络，如有侵权请联系删除

近日，澳大利亚公平竞争和消费者委员会(ACCC)发布消息称，谷歌2017年1月至2018年 12 月的时间里，存在收集和使用其位置数据并误导澳大利亚 Android 用户，被处以6000万美元(约合人民币2.88亿元)罚款。 澳大利亚竞争监管机构表示，这家科技巨头继续跟踪其部分用户的 Android 手机，尽管他们在设备设置中禁用了“位置历史记录”。但实际情况是，谷歌在默认情况下会打开另一个名为“Web & App Activity”的帐户设置使公司能够“收集、存储和使用个人可识别的位置数据”。 ACCC 表示，根据现有数据，估计有超过 130 万个属于澳大利亚人的谷歌账户受到影响。 ACCC 主席 Gina Cass-Gottlieb表示，谷歌是世界上最大的公司之一，它能够保留通过“网络和应用活动”设置收集的位置数据，谷歌可以使用保留的数据将广告定位到某些消费者，即使这些消费者“位置记录”设置已关闭。 个人位置数据对一些消费者来说既敏感又重要，如果谷歌没有做出误导性的陈述，一些看到这些陈述的用户可能会对他们的位置数据的收集、存储和使用做出不同的选择。 澳大利亚联邦法院做出处罚决定 ACCC早在2019年10月就对谷歌提起诉讼。2021年4月，澳大利亚联邦法院裁定谷歌上述做法违反消费者法。主审案件的Thomas Thawley法官表示，被误导的用户不会想到，如果允许“网络和应用程序活动”的跟踪，就意味着允许谷歌使用自己的位置数据。 当时谷歌表示不同意法官的调查结果。“我们为位置数据提供强大的控制，并且一直在寻求做更多的事情——例如我们最近为位置历史引入了自动删除选项，让用户控制数据变得更加容易。” 此番联邦法院确认，2017年1月至2018年12月期间，谷歌通过安卓手机收集和使用其个人位置数据时，对用户做出误导性陈述，违反了消费者法。不仅如此，谷歌还被发现另外两项误导用户的违法行为。 在8月12日联邦法院的听证会上，双方同意处以6000万澳元的“公平合理”罚款，并且已向Thomas Thawley大法官提交一份联合意见书。此外，联邦法院下令谷歌调整其政策，以确保对合规的承诺，并为员工提供有关消费者法的培训。 ACCC 主席 Gina Cass-Gottlieb认为，“个人位置数据对某些消费者来说是敏感和重要的，如果不是谷歌做出误导性陈述，一些看到这些陈述的用户可能会对他们的位置数据的收集、存储和使用做出不同的选择。” 在ACCC主席Gina Cass-Gottlieb看来， 联邦法院这一重大处罚向数字平台和其他大大小小的企业发出一个强烈的信号，即企业不能就数据的收集和使用误导消费者。 谷歌在全球范围内遭遇多次处罚 这已经不是谷歌第一次因违反数据相关法律而遭受处罚，近年来，谷歌在全球范围内都曾因为数据收集、使用不当，违反当地数据法规而被罚款。 2022年 1 月，法国国家信息与自由委员会 (CNIL)对谷歌处以 1.7 亿美元的罚款，原因是谷歌将这个选项隐藏在多次点击之后，使网站访问者难以拒绝跟踪cookie，这侵犯了互联网用户的同意自由。 . 此前，谷歌还因激进的数据收集被罚款 1130 万美元，因偏袒竞争对手的服务而被罚款2.2 亿欧元 ，因在线广告中的反竞争行为被罚款 17 亿美元 ，以及因滥用其市场主导地位调整搜索结果而被罚款 27.2 亿美元等。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/341890.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： Google修补了Android操作系统中的一个关键漏洞，跟踪为CVE-2022-20345，可利用该漏洞通过蓝牙实现远程代码执行。 Google没有透露有关该漏洞的其他细节。 “本节中最严重的漏洞可能导致通过蓝牙远程执行代码，而不需要额外的执行权限。”Google发布的安全公告中写道。 Google通过发布安全补丁级别“2022-08-01”和“2022.08-05”解决了这个问题。 CVE-2022-20345漏洞是Google本月唯一被评为“严重”的漏洞。其他所有漏洞都被评为“高危”。这些漏洞影响了框架、媒体框架、系统、内核、想象技术、联发科技、Unisoc和高通组件。 Google还修补了Google Pixel设备中的数十个安全漏洞，包括四个关键的远程代码执行漏洞，跟踪如下： CVE REFERENCES TYPE SEVERITY COMPONENT CVE-2022-20237 A-229621649 * RCE Critical Modem CVE-2022-20400 A-225178325* RCE Critical Modem CVE-2022-20402 A-218701042 * RCE Critical Modem CVE-2022-20403 A-207975764 * RCE Critical Modem   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 被追踪为“漫游螳螂”的移动威胁运动与针对法国手机用户的新一波妥协有关，数月前，它将目标扩大到欧洲国家。 Sekoia在上周发布的一份报告中表示，作为活动恶意软件操作的一部分，至少有7万台Android设备被感染。 众所周知，涉及漫游螳螂的攻击链是一种出于经济动机的中国黑客组织，它要么部署一个名为MoqHao（又名XLoader）的银行木马，要么将iPhone用户重定向到模仿iCloud登录页面的凭证获取登录页面。 “MoqHao（又名Wroba，Android的XLoader）是一种Android远程访问木马，具有信息窃取和后门功能，可能通过短信传播。”Sekoia研究人员表示。 这一切都始于网络钓鱼短信，这是一种被称为短信诈骗的技术，通过包含流氓链接的包裹交付主题消息吸引用户，单击后，继续下载恶意APK文件，但前提是要确定受害者的位置是否在法国境内。 如果收件人位于法国境外，并且设备操作系统既不是Android也不是iOS（通过检查IP地址和User-Agent字符串可以确定这一因素），则服务器设计为使用“404未找到”状态代码进行响应。 MoqHao通常使用通过动态DNS服务Duck DNS生成的域作为其第一阶段交付基础架构。更重要的是，恶意应用程序伪装成Chrome网络浏览器应用程序，来诱骗用户授予其入侵权限。 间谍软件特洛伊木马使用这些权限，为与受感染设备进行远程交互提供了途径，使攻击者能够秘密获取敏感数据，例如iCloud数据、联系人列表、通话记录、SMS消息等。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 谷歌周二正式宣布支持Android设备的HTTP/3 DNS（DoH3），这是谷歌Play系统更新的一部分，旨在保持DNS查询的私密性。 为此，运行Android 11及更高版本的Android智能手机预计将使用DoH3，而不是包含在Android 9.0移动操作系统中的DNS-over-TLS (DoT)。 DoH3也是DNS-over-HTTPS(DoH)的替代方案，这是一种通过加密连接执行远程域名系统解析的机制，可有效防止第三方窥探用户的浏览活动。 HTTP/3是自2015年5月推出HTTP/2以来对超文本传输协议的首次重大升级，旨在使用一种名为QUIC的新传输层协议，该协议已得到Google Chrome，Microsoft Edge，Mozilla Firefox和Apple Safari等主要浏览器的支持。 谷歌于2012年开发的低延迟协议依赖于用户数据报协议，而不是传输控制协议，以使HTTP流量更加安全和高效，更不用说减少在两个端点之间建立连接所需的时间。 DoH3还具有保持稳定连接的优势，即使移动设备经常更换网络（例如，从Wi-Fi到LTE）。“对于DoT来说，这些事件需要对连接进行全面的重新协商。相比之下，基于QUIC传输的HTTP/3可以在单个RTT中恢复挂起的连接。”谷歌指出。 此外，为了提高DNS解析器的安全性，该组件已在Rust中实现，从而实现内存安全保证。值得指出的是，Google 在 2021 年 4 月为 Android 添加了 Rust 支持。 “随着 Rust 的推出，我们能够同时提高安全性和性能，”Maurer 和 Yu 表示。“同样，QUIC也可以让我们同时提高网络性能和隐私。”   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

微软365防御团队表示，有一种越来越流行的恶意软件可以在受害者不知情的情况下为其订阅高级服务。不过，这种攻击相当精细，恶意软件必须执行相当多的步骤。窝藏恶意软件的应用程序通常被归类为”收费欺诈”，并使用”动态代码加载”来实施攻击。 简而言之，该恶意软件借助运营商的月度账单会订阅了一项高级服务，不知情的受害者只能被迫付款。 该恶意软件只通过利用蜂窝网络使用的所谓WAP（无线应用协议）来工作。这就是为什么某些形式的恶意软件会禁用手机Wi-Fi或等待到Wi-Fi覆盖范围之外才激活。这就是前面提到的动态代码加载发挥作用的地方。然后，恶意软件在后台会下达订阅服务的指令，读取你在订阅前可能收到的OTP（一次性确认密码），自动填写OTP字段，同时隐藏通知以掩盖其踪迹。 好消息是，由于Google的政策限制了应用程序使用动态代码加载，所以该恶意软件主要是在Google的官方应用商店之外传播。因此使用手机的时候要要小心，尽量避免侧载Android应用程序。   转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1287875.htm 封面来源于网络，如有侵权请联系删除

5月27日，微软365 Defender 研究团队披露了在 mce Systems 提供的 Android Apps 移动服务框架中的严重安全漏洞，多个运营商的默认预装应用受影响，其下载量已达数百万次。 研究人员发现的漏洞被追踪为CVE-2021-42598、  CVE-2021-42599、  CVE-2021-42600和 CVE-2021-42601， CVSS评分在 7.0分-8.9分之间， 能够让用户遭受命令注入和权限提升攻击，受影响的运营商包括 AT&T、TELUS、Rogers Communications、Bell Canada和 Freedom Mobile。 研究人员发现该框架有一个“BROWSABLE”服务活动，可以远程调用以利用多个漏洞，攻击者可以利用这些漏洞来植入持久性后门或对设备进行实质性控制。 这些带有漏洞的应用程序嵌入在设备的系统映像中，表明它们是这些运营商提供的预装软件。如同现在大多数 Android 设备附带的许多预装或默认应用程序一样，如果没有获得设备的 root 访问权限，一些受影响的应用程序就无法完全卸载或禁用。 在微软公开披露这些漏洞之前，mce Systems 已修复问题并向受影响的提供商提供框架更新，但研究人员发现一些运营商仍在使用之前存在漏洞的框架版本，如果用户安装了包名为 com.mce.mceiotraceagent的应用，其设备也可能会受到试图滥用这些漏洞的攻击，建议用户及时清除这些应用，并更新至最新的系统版本。   转自 FreeBuf，原文链接：https://www.freebuf.com/news/334690.html 封面来源于网络，如有侵权请联系删除

近日 Android 设备被爆存在安全漏洞，但根源来自于苹果的无损音频编解码器（ALAC）。目前，美国市场 95% 的 Android 设备来自于高通和联发科，安全公司 Check Point 指出尚未安装 2021 年 12 月 Android Security Patch 的设备都存在“Out-of-Bounds”安全漏洞，容易被黑客控制。 该漏洞存在于 ALAC 中，它通常被称为苹果无损音频编解码器。ALAC 是苹果公司早在 2004 年就推出的一种音频格式。顾名思义，该编解码器承诺在互联网上提供无损音频。 虽然苹果公司设计了自己的 ALAC 专利版本，但存在一个开源版本，高通公司和联发科在Android智能手机中依赖该版本。值得注意的是，这两家芯片组制造商都在使用一个自 2011 年以来没有更新过的版本。 在一篇试图解释安全漏洞的博客文章中，Check Point写道： 我们的研究人员发现的 ALAC 问题可以被攻击者用来通过畸形的音频文件对移动设备进行远程代码执行攻击（RCE）。RCE 攻击允许攻击者在计算机上远程执行恶意代码。RCE 漏洞的影响范围很广，从恶意软件的执行到攻击者获得对用户多媒体数据的控制，包括从被攻击机器的摄像头中获得流媒体。 高通公司一直在用 CVE 识别标签 CVE-2021-30351 追踪该漏洞，而联发科则使用 CVE ID CVE-2021-0674 和 CVE-2021-0675。撇开技术术语不谈，开源版苹果无损检测中的漏洞可被无特权的Android应用利用，将其系统权限升级到媒体数据和设备麦克风。这基本上意味着应用程序不仅可以窃听电话交谈，还可以窃听附近的谈话和其他环境声音。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1261179.htm 封面来源于网络，如有侵权请联系删除