Threat Fabric 安全研究人员刚刚公布了一批 Android 网银木马，而且在被 Google Play 清理之前，其下载量就已经超过了 30 万次。在二维码扫描仪、PDF 扫描仪、加密货币钱包等表象的掩饰下，这些恶意应用会在暗中窃取用户登录凭证、双因素身份验证码、记录按键、以及屏幕截图。 （来自：Threat Fabric） 通过持续四个月的追踪，Threat Fabric 发现了四个独立的 Android 恶意软件系列。可知其利用了多种技巧，来规避 Google Play 应用商店的检测机制 安全研究人员指出，之所以从 Google Play 的自动化（安全沙箱）和机器学习审核流程中逃逸，正是该平台试试权限限制的直接后果。 通常情况下，这些恶意软件会先以一款良性 App 的面目示人。所以在早期的 VirusTotal 恶意软件检测过程中，它们并不会在第一时间被揪出。 但在用户安装后，它们就会开始诱骗用户下载并安装带有“附加功能”的更新包。此时这些恶意应用会通过第三方来源来获取，但此时它们已经骗取了用户的普遍信任。 为了躲避雷达追踪，这些恶意程序还利用了其它手段。在许多情况下，幕后操纵者只有在检查受感染的设备的地理位置、或通过增量更新后，才会手动部署恶意内容。 这种致力于躲过不必要关注的手段，实在让人难以置信。然而现实表明，基于自动化流程的传统恶意软件检测方案，正在变得不那么可靠。 在近日发表的一篇博客文章中，Threat Fabric 详细阐述了被调查的 9 款 dropper 恶意软件。其中造成最多感染的，被称作 Anatsa 家族。 这款“相当先进”的 Android 网银木马内置了许多功能，包括远程访问和自动转账系统。受害者将被无情地清空账户，将资金转移到幕后黑手控制的账户中。 感染 Anatsa 恶意软件的过程，是从 Google Play 下载看似人畜无害的初始安装包后开始的。之后相关 App 会强制用户更新，以继续使用该应用程序。 但现实是，幕后黑手在远程更新服务器上托管了夹带私货的恶意内容，并通过骗取信任的方式，将之安装在了毫无戒备的受害者设备上。 为了装得更像一些，幕后团伙甚至会雇人在 Google Play 应用商店刷好评，以引诱更多无辜者上当受骗。 最后，研究人员还发现了另外三大恶意软件家族（分别称之为 Alien、Hydra 和 Ermac）。 其特点是植入了 Gymdrop 恶意负载，并利用基于受感染设备模型的过滤规则，来躲过安全研究人员的搜捕。   （消息及封面来源：cnBeta）

安全漏洞和bug时有发生，这本就是软件开发过程的一部分，但缺陷是由糟糕的编程人员造成的时候，这个问题就会特别令人生气。在应用程序中硬编码认证密钥或未能在在线数据库中设置认证是开发人员无法接受的，然而，这是一个相当普遍的现象。 周四，网络安全公司Check Point Research发布了一份报告，详细介绍了23个Android系统的不良云配置和实施，可能使数百万用户的数据面临风险。可能泄露的信息包括电子邮件记录、聊天信息、位置信息、图像、用户ID和密码。 一半以上的应用程序的下载量都超过1000万，因此受影响的用户范围很大，Check Point估计，这些应用程序可能已经暴露了超过1亿用户的数据。 大多数应用程序都有实时数据库，开发人员对公众敞开了大门，这个问题非常常见且分布广泛，它的研究人员发现，在他们调查的一半以上的应用程序的数据库中，他们可以自由访问信息。 技术人员还发现，将近一半的应用程序将其云存储密钥嵌入其应用程序的代码中。例如，CPR从一个名为 “iFax”的传真应用程序中获取了密钥，这将使他们能够访问该应用程序的50多万用户发送的每一份传真。出于道德原因，研究人员没有访问这些记录，但通过代码分析验证了他们可以这样做。 他们发现的一个不太常见的问题仍然值得注意，那就是硬编码的推送通知键。嵌入的通知密钥并不像将云存储密钥编码到程序中那么严重，但CPR解释说，这也是同样糟糕的一种做法。 “虽然推送通知服务的数据并不总是敏感的，但代表开发者发送通知的能力足以引诱恶意的行为者。想象一下，如果一个新闻输出应用程序向其用户推送一个假的新闻条目通知，将他们引向一个钓鱼网页，要求他们更新订阅。由于该通知源自官方应用程序，用户不会怀疑任何事情，因为他们确信这个通知是由开发人员发送的”。 Check Point表示，在披露这些漏洞之前，它已经通知了应用程序制造商，而且有几个制造商跟进了更新，以修复这些问题。然而，被调查的23个应用只是Google Play上287万个应用中的一个微不足道的样本，可能有更多的人在使用这些同样糟糕的做法。     （消息及封面来源：cnBeta）

有证据标明存在于高通和 Mali GPU 内核驱动中的漏洞已经被黑客利用，至少有数百万台 Android 设备受到影响。到目前为止，Google Pixel 设备是唯一得到修补的设备，但其他 Android 设备延迟更新的长期问题仍然存在。 本月早些时候，安全公司 Check Point 发现，为数亿台 Android 设备提供动力的高通芯片存在一个关键的安全漏洞。在本周更新的 5 月 Android 安全公告中，表示 5 月 1 日披露的漏洞中有 4 个已经被黑客利用发起攻击。 在安全公告中，罗列了不少于 42 个漏洞，这些漏洞在 2021 年 5 月的安全更新中被修补，但当时该公司并不知道有任何漏洞被积极利用。而最新数据标明，其中 4 个漏洞可能处于“有限、有针对性的利用”中。 其中两个漏洞影响到数百个芯片组中的高通 GPU，包括最新的支持 5G 的芯片组，如骁龙 768G 和骁龙 888。另外两个漏洞影响到Arm Mali GPU（用于数百万安卓设备）的内核驱动，其严重性不可低估，因为它们允许攻击者完全控制你的手机。 安全公司Zimperium的副总裁Asaf Peleg告诉Ars Technica，”从提升默认情况下的权限到执行当前进程现有沙盒之外的代码，设备将被完全破坏，没有数据是安全的”。   （消息及封面来源：cnBeta）

隐私分析公司AppCensus周二披露，谷歌和苹果的COVID-19暴露通知应用程序的Android版本有一个隐私缺陷，让其他预装应用程序有可能看到敏感数据，包括某人是否曾与COVID-19检测呈阳性的人接触过。谷歌接到消息后回应称正在准备对该漏洞的修复。 这个漏洞违背了谷歌首席执行官桑达尔-皮查伊、苹果首席执行官蒂姆·库克和许多公共卫生官员的多次承诺，即暴露通知程序收集的数据不能在个人设备之外共享。 据The Markup报道，AppCensus在2月份首次向谷歌报告了这个漏洞，但该公司未能解决这个问题。AppCensus的联合创始人兼取证负责人Joel Reardon告诉The Markup，修复这个问题就像删除几行非必要的代码一样简单。”Reardon说：”明明有很简单的修复方法，我很惊讶他们没有这么做。” 谷歌发言人José Castañeda在给The Markup的一份电子邮件声明中说：”我们被告知一个问题，即蓝牙标识符暂时可以被特定的系统级应用程序用于调试目的，我们立即开始推出一个解决方案来解决这个问题。” 曝光通知系统的工作原理是在用户的手机和其他激活了该系统的手机之间ping出匿名的蓝牙信号。然后，如果有人使用该应用程序对COVID-19检测呈阳性，他们可以与卫生部门合作，向任何有相应信号记录在手机内存中的手机发送警报。 在Android手机上，追踪数据被记录在特权系统内存中，手机上运行的大多数软件都无法访问。但是，制造商预装的应用程序有特殊的系统权限，可以让它们访问这些日志，从而使敏感的联系人追踪数据处于危险之中。但是，目前没有迹象表明任何应用程序实际收集了这些数据。 预装的应用程序以前曾利用过它们的特殊权限，有调查显示，它们有时会收集地理位置信息和手机联系人等数据，但该分析报告没有发现iPhone上的曝光通知系统有任何类似的问题。 AppCensus的首席技术官Serge Egelman在Twitter上发表的一份声明中说，这个问题是一个实施上的问题，而不是曝光通知框架所固有的bug，但它不应该削弱对公共卫生技术的信任。我们希望带来的教训是，正确处理隐私问题真的很难，系统中的漏洞总是会被发现，但共同努力补救这些问题符合所有人的利益。”   （消息及封面来源：cnBeta）

一个旨在窃取密码、银行资料和其他敏感信息的恶意软件正在 Android 平台上快速传播。这款恶意软件名为 FluBot，通过声称来自某家快递公司的短信进行安装，要求用户点击一个链接来追踪某个包裹。这个钓鱼链接要求用户安装一个应用程序来跟踪假的快递，但实际上会窃取用户的敏感数据。 一旦安装，FluBot 还可以访问受害者的通讯录，允许它将受感染的短信发送给他们所有的联系人，进一步传播恶意软件。英国国家网络安全中心（NCSC）已经发布了关于如何识别和删除FluBot恶意软件的安全指南，而包括Three和Vodafone在内的网络供应商也已经就短信攻击向用户发出警告。 最常见的就是来自 DHL 的信息，此外包括亚马逊、Asda、Argos 也有用到。如果安卓用户点击该链接，他们会被带到一个网站，该网站将把用户带到一个第三方网站，下载一个恶意的APK文件（安卓软件包文件）。这些文件通常在默认情况下被阻止，以帮助保护安卓用户免受攻击，但假网站提供了如何绕过这些保护措施并允许 FluBot 被安装的信息。 一旦安装，FluBot 获得所有必要的权限，以访问和窃取敏感信息，包括密码、网上银行细节和其他个人信息，以及将自己传播给他人的能力。正是这种利用联系信息的机制使 FluBot 的传播如此迅速。 NCSC 警告收到诈骗短信的用户不要点击短信中的链接，如果有提示也不要安装任何应用程序。相反，他们被敦促将该信息转发到7726，一个由电话运营商提供的免费垃圾邮件报告服务–然后删除该信息。   （消息及封面来源：cnBeta）

超过50万名华为用户从该公司的官方Android商店AppGallery下载了感染Joker恶意软件的应用，订阅了高级移动服务。研究人员在AppGallery中发现了10个看似无害的应用，这些应用含有连接到恶意命令和控制服务器以接收配置和附加组件的代码。 反病毒厂商Doctor Web的一份报告指出，这些恶意应用保留了其宣传的功能，但下载的组件可以让用户订阅高级移动服务。为了让用户无法察觉，受感染的应用程序要求访问通知，这使得他们能够拦截订阅服务通过短信传递的确认代码。 据研究人员介绍，该恶意软件最多可以为一个用户订阅五项服务，不过威胁行为人可以随时修改这一限制。恶意应用程序的清单包括虚拟键盘、相机应用程序、启动器、在线信使、贴纸收集、着色程序和游戏。 其中大部分来自一个开发商，两个来自不同的开发商。这十款应用被超过53.8万名华为用户下载。这些应用告知华为，该公司从AppGallery中删除了这些应用。虽然新用户不能再下载它们，但已经在设备上运行这些应用的用户需要进行手动清理。 研究人员表示，AppGallery中被感染的应用程序下载的相同模块也存在于Google Play上的其他应用程序中，被其他版本的Joker恶意软件使用。完整的被感染应用列表可在这里获得。一旦激活，恶意软件就会与其远程服务器通信，以获取配置文件，其中包含任务列表、高级服务的网站、模拟用户交互的JavaScript。 Joker恶意软件的历史最早可以追溯到2017年，并不断在通过Google Play商店分发的应用中找到它的踪迹。2019年10月，卡巴斯基的安卓恶意软件分析师Tatyana Shishkova在推特上发布了70多个被入侵的应用，这些应用已经进入了官方商店。 而关于Google Play中恶意软件的报道也不断出现。2020年初，谷歌宣布，自2017年以来，已经删除了约1700个感染了Joker的应用。去年2月，Joker仍然存在于商店中，即使在去年7月，它也继续从谷歌的防御系统中溜走。   （消息及封面来源：cnBeta）

谷歌已从Play Store中删除了几款Android应用程序，原因是这些应用被发现投放了侵入性广告。 捷克网络安全公司Avast周一报道了这一发现，称21个恶意应用（从此处列出）从Google应用市场下载了近800万次。 这些应用伪装成无害的游戏应用，并带有HiddenAds恶意软件，该恶意软件是一个臭名昭著的木马，以在应用外部投放侵入性广告而闻名。攻击者依靠社交媒体渠道吸引用户下载应用程序。 今年6月初，Avast发现了类似的HiddenAds广告活动，其中涉及47个游戏应用程序，下载量超过1500万次，用于显示设备范围内的入侵广告。 Avast的JakubVávra说：“广告软件开发商越来越多地使用社交媒体渠道，就像普通的营销人员一样。” “这次，用户报告显示，他们的目标是在YouTube上宣传游戏的广告。” “9月份，我们看到广告软件通过TikTok传播。这些社交网络的普及使它们成为有吸引力的广告平台，也使攻击者以年轻的受众为目标。” 安装后，这些应用程序不仅会隐藏其图标以防止删除，而且还隐藏在具有相关外观的广告后面，从而使其难以识别。 此外，这些应用还可以覆盖其他应用，以显示无法跳过的定时广告，在某些情况下，甚至可以打开浏览器用广告轰炸用户。 谷歌一直在积极阻止流氓Android应用渗透到谷歌Play Store。它利用谷歌Play Protect来筛选可能有害的应用程序，并于去年与网络安全公司ESET、Lookout和Zimperium结成“App Defense Alliance”，以降低基于应用程序的恶意软件的风险。     稿件与封面来源：The Hacker News，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理， 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

GravityRAT是一种以检查Windows计算机的CPU温度以检测虚拟机或沙箱而闻名的恶意软件，现在已经成为多平台的间谍软件，因为它现在也可以用来感染Android和macOS设备。GravityRAT远程访问木马(RAT)至少从2015年开始就被看似巴基斯坦的黑客组织积极开发，并被部署在针对印度军事组织的定向攻击中。 虽然恶意软件的作者之前专注于针对Windows机器，但卡巴斯基研究人员去年发现的一个样本显示，他们现在正在增加对macOS和Android的攻击。他们现在还使用数字签名来签署他们的代码，使他们的诱杀应用看起来合法。 更新后的RAT样本是在分析一款Android间谍软件应用（即Travel Mate Pro）时检测到的，该应用会窃取联系人、电子邮件和文件，这些文件会被发送到在线命令和控制服务器，这个服务器也被另外两个针对Windows和macOS平台的恶意应用（Enigma和Titanium）也在使用。 这些恶意应用程序在受感染设备上投放的间谍软件恶意软件运行着多平台代码，它允许攻击者向，它们可以获取系统信息，搜索计算机和可移动磁盘上扩展名为.doc、.docx、.ppt、.pptx、.xls、.xlsx、.pdf、.odt、.odp和.ods的文件，并将它们上传到服务器，获取运行中的进程列表，窃听，截屏，任意执行shell命令，录音和扫描端口。 “总的来说，发现了超过10个版本的GravityRAT，被伪装成合法的应用程序进行分发，这些模块一起使用，使该集团能够进入Windows操作系统，MacOS和Android。卡巴斯基还发现了用.NET、Python和Electron开发的应用程序，这些应用程序通常是合法应用程序的克隆，它们会从C&C服务器上下载GravityRAT有效载荷，并在被感染的设备上添加一个预定任务以获得持久性。     （消息来源：cnbeta，封面来自网络）

随着操作系统代码复杂度的提升，Bug 与漏洞也变得越来越难以避免。与此同时，随着 Android 与 iOS 平台在移动时代的重要性日渐提升，行业也需要越来越多有这方面经验的安全研究人员。最新消息是，搜索巨头谷歌正在组建一支 Android 安全团队，并将致力于发现和消除敏感 App 中的 Bug 。 虽然 Android Security 团队早期不是什么新鲜事，但谷歌显然还是希望通过成立一支新的团队，来进一步加速发现和修复 Bug 的过程。 具体说来是，这支 Android 安全团队将主要负责对“高度敏感型的应用”展开安全评估。有趣的是，该公司也在一则招聘启事中进行了披露。   据悉，搜索巨头希望招募安全工程方面的经理人选（传送门），该职位需要负责组建一支安全团队，然后对 Google Play 上高度敏感的第三方 Android 应用进行安全评估。 外媒猜测，该团队或专注于包含敏感用户数据的 App，比如网银和最近流行的 COVID-19 密切接触者追踪通报应用程序。 此外这份招聘启事还讨论了谷歌正在寻找的新 Android 安全团队将不仅致力于发现敏感 App 中的漏洞，同时也会提供解决问题的补救措施。 更进一步的话，新团队还将负责与其它 Android 安全团队的合作，以找到更好的方法来缓解此类问题的发生，后续显然会将范围覆盖到自家的 Play 应用商店之外。 换言之，此举将提升 Android 生态系统的整体安全性和可访问性，进而带来更好的用户体验。     （稿源：cnBeta，封面源自网络。）

据外媒BGR报道，一款名为FakeSpy的Android恶意软件重现江湖，目前主要目标是美国和西欧的用户。该应用能够窃取用户的短信、银行信息和应用数据。该恶意软件通过一条看似来自当地邮局的短信进行传播，并指示用户下载一款伪装成合法邮局应用的应用。 据Cybereason的一份新报告显示，一款名为FakeSpy的危险Android恶意软件已重新出现。FakeSpy是近三年前被安全研究人员首次发现的，是一款特别恶劣的恶意软件，旨在窃取用户的短信、财务数据、银行登录信息、应用数据、联系人列表等。 在最初的化身中，该应用的目标是韩国和日本的用户。不过最近，这款应用的野心更大了，现在开始针对全球的用户。目前，该恶意软件针对的一些国家包括中国、法国、德国、英国和美国。据悉，目前FakeSpy的迭代也比原来的版本更加强大和复杂，也就是说安卓用户要特别警惕，避免收到可疑信息。 FakeSpy的传播方式相当巧妙，首先是一条声称来自当地邮局的短信。短信中声称邮局试图投递一个包裹，但由于用户不在家而无法投递。然后，它提供了一个用户可以点击的链接，该链接引导用户下载一个伪装成合法邮政服务应用的应用程序。一旦安装在设备上，该应用就会将假短信以及恶意链接发送到用户的整个联系人列表中。 Cybereason补充道： 虚假应用是使用WebView构建的，WebView是Android的View类的一个流行扩展，可以让开发者显示一个网页。FakeSpy利用这个视图，在启动应用时将用户重定向到原来的邮局运营商网页，继续欺骗。这使得应用程序看起来合法，特别是考虑到这些应用程序的图标和用户界面。 一旦不知情的用户下载了假应用，恶意软件基本上就可以完全访问用户的设备。其中，它可以读取短信，发送短信，访问联系人信息，并从外部存储中读取。除此之外，该应用还特意寻找任何银行或加密货币相关的应用，以便窃取登录信息。 至于恶意软件的来源，研究人员称，所有迹象都指向一个名为 “Roaming Mantis “的组织。 Cybereason总结道： 恶意软件的作者似乎花了很大力气来改进这个恶意软件， 捆绑了许多新的升级，使其更加复杂、容易规避、装备精良。这些改进使FakeSpy成为市场上最强大的信息窃取者之一。我们预计这种恶意软件将继续发展，增加更多的新功能；现在唯一的问题是，我们何时才能看到下一波。     （稿源：cnBeta，封面源自网络。）