安全公司 Palo Alto 的一份报告指出，有 145 个 Google Play 应用程序被恶意的 Windows 可执行文件感染，在其向 Google 安全小组报告了调查结果后，谷歌从 Google Play 中删除了所有受感染的应用。 值得注意的是，受感染的 APK 文件不会对 Android 设备本身构成任何威胁，因为这些嵌入式 Windows 可执行二进制文件只能在 Windows 系统上运行。而这些 APK 文件之所以会被感染，原因在于 APK 开发者所使用的 Windows 系统已经被恶意程序感染，也就是说开发者在被感染后，不知不觉将恶意程序感染到其开发的 APP 上了。这种通过在开发生命周期中隐藏恶意程序，利用软件开发人员来实施大规模攻击的策略，在此之前已经有过案例，如 KeRanger、XcodeGhost 和 NotPetya 等，对软件供应链构成严重威胁。 大多数受感染的 APP 上架于 2017 年 10 月到 11 月之间，这意味着恶意程序已经潜伏了半年多。在这些受感染的 APP 中，有几个甚至有超过 1000 的安装量和 4 星评价。 报告中指出，在这些受感染的应用程序中，一个 APK 可能包含多个不同位置的恶意 PE（Portable Executable）可执行文件，它们的文件名不同，并且还以“Android.exe”、“my music.exe”、“COPY_DOKKEP.exe”、“js.exe”、“gallery.exe”与“images.exe”之类的名称­蒙混过关。而其中有两个 PE 文件比较突出，仅它们就覆盖了所有受感染 APK，主要功能是记录键盘输入，以获取信用卡号、社会保险号和密码等敏感信息。 读者也不用过于担心，Palo Alto 已经分析出了恶意 PE 文件在 Windows 系统上执行时会产生以下可疑活动： 在 Windows 系统文件夹中创建可执行文件和隐藏文件，包括复制自身 更改 Windows 注册表以在重启系统后进行自启动 试图长时间进入睡眼状态 通过 IP 地址 87.98.185.184:8829 进行可疑的网络连接活动 如果在自己的电脑中发现这些可疑行为，那么请及早排查，避免进一步受伤害。   稿源：开源中国社区，封面源自网络；

Zimperium 公司称 Android 远程管理工具 AirDroid 存在多个漏洞，允许攻击者发动中间人攻击，远程执行恶意代码、更新恶意 APK 、获取敏感信息。 根据谷歌应用商店数据，AirDroid 应用程序已被下载超过 5000 万次。 Zimperium 研究人员发现，AirDroid 使用不安全通信信道，给统计服务器发送认证数据。且加密密钥的应用本身采用硬编码（ECB模式）加密。攻击者可以在同一网络上进行中间人攻击，获取请求中泄露的设备认证信息。冒充受害人的设备执行各种 HTTP 或 HTTPS 协议向 AirDroid API 端点请求并重定向流量到一个恶意的代理，从而在目标设备上远程执行代码、注入恶意 APK 更新。 攻击者还可以获得完全访问该设备，并看到用户敏感的数据，包括电子邮件地址和密码等。 目前漏洞没有被修复，为了解决这些问题，AirDroid 只能使用安全通信通道（HTTPS），避免 SSL 中间人攻击，使用安全密钥交换机制，更新升级数字验证文件。 稿源：本站翻译整理，封面来源：百度搜索