总部位于澳大利亚的SophosLabs研究人员最近发现了15个应用程序，这些应用程序除了在Android设备上积极展示广告外似乎没有其他作用。这些程序的名称和产品描述，从QR阅读器到图像编辑应用程序不等。使这些应用程序更加隐蔽的是，它们隐藏了自己的应用图标，使它们更难从手机中删除。其中一些程序甚至在设置中使用不同的名称和图标来伪装自己。 Sophos给出了一个名为Flash On Calls＆Messages（free.calls.messages）的应用程序示例。启动后，它会显示一条消息，指出“此应用程序与您的设备不兼容！”，然后它将应用程序商店打开到Google Maps页面，以诱骗用户以为Google Maps是问题所在。之后，它会隐藏其图标，以便无法在启动器中看到它。 更糟糕的是，这些应用进一步尝试通过在Android设置中使用其他名称和图标来避免将其删除。 15个程序中有9个采用这种策略以避免被发现。伪装的应用程序将使用更新，备份，时区服务甚至Google Play商店之类的名称来模仿无害的程序甚至基本功能。 首席研究员安德鲁·勃兰特（Andrew Brandt）概述了如何查找和删除烦人的恶意软件：“如果您怀疑最近安装的应用程序将其图标隐藏，请点击“设置”，然后点击“应用程序和通知”。最近打开的应用程序显示在此页面顶部的列表中。如果这些应用程序中的任何一个使用通用的Android图标,并且具有通用的名称,如“备份”，“更新”，“时区服务”），请点击该通用图标，然后点击“强制停止”，然后点击“卸载”。一个真实的系统应用程序将具有一个名为“禁用”的按钮，而不是“卸载”，您无需费心禁用它。” 发现的15个恶意应用已从Google Play中删除。但是，Play市场统计数据显示，它们已经被下载并安装在全球超过130万台设备上。   （稿源：cnBeta，封面源自网络。）

自 2010 年推出除虫赏金项目以来，谷歌已经向安全研究人员支付了超过 1500 万美元的奖励。今天，这家科技巨头宣布进一步拓展 Google Play 安全奖励项目（GPSRP）的范围，以覆盖上亿的 Android 应用程序。与此同时，谷歌与 HackerOne 合作推出了开发者数保护奖励（DDPRP）项目，适用于针对 Android 应用、OAuth 项目、以及 Chrome 扩展程序的数据滥用。 谷歌认为，除虫奖励项目是其内部安全计划的一个有力补充，能够激励个人和安全研究机构帮助其找到缺陷并正确地披露，而不是将之在灰色市场兜售或恶意使用。 与其等到发生难以挽回的严重后果，还是掏钱奖励安全研究人员来得划算。此外，在今天的更新发布之前，谷歌还于上月增加了 Chrome 浏览器、Chrome OS、以及 Google Play 的安全研究奖励。 截至目前，Google Play 安全奖励（GPSRP）项目已经向安全研究人员支付了超过 26.5 万美元的赏金。随着该项目覆盖更多热门的应用，未来谷歌有望拿出更多的预算。 同时，谷歌还在努力提升自动筛查漏洞的技术能力，为 Google Play 中的所有应用查找类似的漏洞。如有应用开发者受到影响，可通过 Play 控制台接收到相应的通知。 据悉，谷歌的应用安全改进（ASI）项目，能够为开发者提供与漏洞及其修复方法相关的信息。 今年 2 月的时候，谷歌透露 ASI 项目已帮助超过 30 万名开发者，在 Google Play 上修复了超过 100 万个应用。 至于新增的开发人员数据保护奖励（DDPRP）计划，旨在识别和减轻针对 Android 应用、OAuth 项目、以及 Chrome 扩展程序中的数据滥用问题。 若研究者可体征验证明确的数据滥用，谷歌将会根据 DDPRP 的奖励方案给予一定的报酬，因为该公司对用户数据被外使用或出售等情况尤为关切，最高可送上单笔 5 万美元的奖金。 那些被认定存在数滥用行为的 Android 应用和 Chrome 扩展程序，不仅会被 Google Play 和 Chrome 网上应用店下架，其开发者也会被限制对相应 API 的访问。   （稿源：cnBeta，封面源自网络。）

Google在周四的一篇博客文章中称，已有5年历史的Android安全计划帮助修复了Play商店中超过100万个应用程序。当应用程序提交到Google Play商店时，应用程序安全性改进计划的成员将扫描它们是否存在漏洞。如果没有任何问题，应用程序会在Play商店中显示之前进行进入正常测试阶段。 如果出现问题，团队会将应用程序标记给人员并帮助他们修复它，而他们还将提供诊断和后续步骤。 到目前为止，该计划已帮助超过30万名开发人员修复了超过100万个应用程序。就在去年，该计划帮助超过30000名开发人员修复了超过75000个应用程序。这意味着那些易受攻击的应用程序无法提供给存在安全问题的用户。 该公司在博客文章中写道：“保持Android用户的安全对Google来说非常重要。” “我们知道应用程序安全性通常很棘手，开发人员可能会犯错。我们希望看到这个程序在未来几年内不断发展，帮助全球开发人员构建用户真正信任的应用程序。” 本月早些时候Google表示，Play商店每天会在用户设备上扫描超过500亿个应用，以查找和阻止不良应用。 2017年，该公司表示已从Google Play商店中删除了超过70万个不良应用。在2018年，它拒绝了超过55％的应用程序提交量。 App Security Improvement计划涵盖了Android应用中的各种安全问题。这些可以与特定版本的流行库（例如：CVE-2015-5256）中的安全性问题一样具体，也可以与不安全的TLS / SSL证书验证一样广泛。 通过改进现有检查并启动对更多类安全漏洞的检查，不断改进该计划的功能。在2018年，Google为另外六个安全漏洞类别部署了警告，包括： SQL注入 基于文件的跨站点脚本 跨应用程序脚本 泄露的第三方证书 计划劫持 JavaScript接口注入     （稿源：cnBeta，封面源自网络。）

Google 公布了史上第一份 Android 生态系统安全报告（Android Ecosystem Security Transparency Report），这是一份季报，内容来自于 Google Play Protect 所检测到的“可能存在危险的应用程序”（（Potentially Harmful Applications，PHA），内容显示 Google Play 下载的应用程序比其他渠道安全9倍。 之前，Google 会提供 Android 年度安全报告，其中包含Android 系统安全趋势、Google 提供的 Android 漏洞奖金，以及在 Android 上提供的保护机制等。而此次季度报告主要针对 PHA。 Android 内置的 Google Play Protect 平均每天扫面500亿的应用，当发现可能存在危险的应用时，就会对使用者提出警告，并允许使用者关闭或下载该程序。每季的季度报告都提供三项指标，分别是 PHA 的来源（Google Play 及非 Google Play），各种 Android 版本所包含的 PHA 比率，以及不同国家的 Android 系统的 PHA 比率。 Google 表示，从 Google 下载程序的 Android 设备，只有 0.09% 会识别到 PHA，今年前三季下降到了 0.08%；相比之下，从包含 Google Play 和第三方应用市场下载程序的设备，检测到 PHA 的比率高达 0.82%，不过，今年前三年也出现了下滑，数值到 0.68%。 Google 还表示，越新的 Android 系统检测到 PHA 的比率越低，如，棒棒糖（Lollipop，Android 5.0）检测到 PHA 的比率 > 棉花糖（Marshmallow，Android 6.0）> 牛轧糖（Nougat，Android 7.0）>奥利奥（Oreo， Android 8.0）> 最新的“派”（Pie，Android 9.0）。 Google 解释说，这是因为公司持续加强 Android 平台和 API，加上常规平台和程序更新，也限制了程序对机密信息的访问。此外，包括Nougat，Oreo 和 Pie都更能够承受权限扩展攻击，让过去尝试扩展权限以避免被删除的 PHA 无处遁形。 而在 Android 的前十大市场，至少安装一个 PHA 的装置百分比中，以印度，印尼及美国的比率最高。 完整的安全生态报告看这里。   稿源：开源中国，封面源自网络；

据外媒Techspot报道， 谷歌Play商店此前曾出现一些看似合法却包含恶意软件的的应用程序并不陌生，但McAfee的研究人员发现了一些与以前不同的内容：针对特定个人的三种恶意应用程序。该安全组织表示，一个与朝鲜有关的小组上传了这些应用程序，这些应用程序旨在渗透属于脱北者的Android设备。 虽然“朝鲜黑客”通常指臭名昭著Lazarus Group，但此次的攻击者是 Sun Team。该组织参加了名为RedDawn的活动，该广告活动在恶意软件加载应用程序被添加到谷歌Play商店之前，曾试图吸引“叛逃者”下载软件。 今年1月至3月间，这三款应用出现在谷歌Play商店中。其中一个称为 Food Ingredients Info的应用提供了有关食物成分的信息。另外两个应用——Fast AppLock 和Fast AppLockFree则是安全工具。这三款应用都能够窃取那些下载应用的用户的个人数据，这些数据可能被用来勒索，威胁或追踪受害者; 这些信息包括用户的照片、联系人、通话记录和短信等。 “感染设备后，恶意软件使用Dropbox和Yandex上传数据并发布命令，包括其他插件dex文件;这与早期的Sun Team攻击类似，”McAfee的Jaewon Min写道。“从这些云存储站点，我们发现了Sun Team用于我们1月份报告的恶意软件活动的相同测试Android设备的信息日志。日志具有类似的格式，并使用与其他Sun Team日志相同的缩略字段。此外，新恶意软件者的电子邮件地址与早先与Sun Team相关的电子邮件地址相同。” Sun Team试图让朝鲜叛逃者（其中2016年有超过30,000人）通过使用虚假的Facebook个人资料或通过该发送直接私人消息来下载应用程序。在韩国流行的聊天应用程序KakaoTalk也被用来发送链接到目标。 目前已被删除的应用程序在谷歌 Play商店中大约被下载了100次。据报道，Sun Team设置的两个虚假的Facebook个人资料仍然活跃。将攻击与朝鲜联系在一起的进一步证据包括在测试日志文件中找到的属于该国的IP地址，以及作者使用韩语“不在韩国语词汇中”的事实。   稿源：cnBeta，封面源自网络；

Google 今天发布了 Android Security 2017 年度回顾报告，这是该公司第四批试图向公众宣传Android各种安全层面及其缺陷的尝试。报告中最有趣的一个学习是通过机器学习检测到 60.3% 的潜在有害应用（PHA）。该检测是通过名为 Google Play Protect 的服务完成的，该服务在超过 20 亿台设备（运行 Android 4.3 及更高版本）上启用，以不断扫描 Android 应用程序的恶意活动。 Play Protect 使用各种策略来保护用户及其数据的安全，但机器学习在帮助抓住 PHA 方面特别有效。 谷歌今年早些时候分享的数据显示，2017 年因违反应用商店政策（同比增长 70%）而从 Google Play 中移除了超过 70 万个应用，该公司称其实施了机器学习模型和技术来检测应用程序内容和行为的滥用行为，如模仿，不适当的内容或恶意软件。 但该公司并未分享任何细节。现在我们了解到，每10次检测中就有6次是机器学习。Play Protect 每天都会自动审核超过 500 亿个应用 – 去年这些自动审核导致去除了近 3900 万个 PHA。Play Protect 每天至少自动检查 Android 设备上的 PHA 一次。 直到最近，Play 保护所需设备联机才能进行。当 Google 发现当设备处于脱机状态或网络连接丢失时，近 35% 的新 PHA 安装正在进行，它转而开发一项新功能来解决该问题。 2017  年 10 月，Play Protect 获得了离线扫描功能，该功能已经阻止了 1000 万次 PHA 安装。 稿源：cnBeta，封面源自网络；

两名安全研究人员 Alexander Bolshev 和 Ivan Yushkevich 去年从 Google Play 里随机选择了 34 款企业应用进行研究，应用的开发商包括工业控制系统供应商西门子和施耐德电气。他们从应用里发现了 147 个安全漏洞。研究人员没有披露哪家公司的情况最严重，也没有披露存在漏洞的具体应用。 研究人员表示只有两个应用没有发现漏洞。他们发现的一些漏洞允许黑客干扰应用与机器或关联进程之间的数据流。举例来说，通过干扰数据，工程师可能会误以为实际已过热的机器仍然运行在安全温度阈值内。 另一个漏洞允许攻击者在移动设备上植入恶意代码，向控制机器的服务器发出恶意指令。严重的话可能会造成流水线的混乱或导致炼油厂发生爆炸。这只是极端的假设。研究人员表示他们已经联系了相关企业，其中一些已经修复漏洞，另一些则没有回应。 稿源：cnBeta、solidot，封面源自网络。

外媒 1 月 9 日消息，趋势科技近期于 Google Play 商店发现了首款使用 Kotlin 语言编写的恶意应用程序 Swift Cleaner。据研究人员介绍，该恶意软件被描述成用于清理和优化 Android 设备的工具，但实际上该软件能够执行远程命令、窃取信息、短信发送、URL 转发和点击欺诈。最重要的一点是，在未经许可的情况下自动为用户订阅收费短信服务。截至研究人员发现时，该恶意应用程序 下载安装数量已达 5000 次。 图1. Swift Cleaner，伪装成 Android 清洁应用程序的恶意应用程序 Google 于 2017 年 5 月称 Kotlin 是编写 Android 应用程序的一流语言。自 Kotlin 发布以来，17％ 的 Android Studio 项目开始使用其编程，例如 Twitter，Pinterest 和 Netflix 都是使用 Kotlin 开发的应用程序。Kotlin 非常简洁，极大程度的减少了样板代码的数量，并且非常安全。 图2. 使用 Kotlin 开发的恶意应用程序的封装结构 恶意软件工作原理 启动 Swift Cleaner 后，恶意软件会将用户的设备信息发送到其远程服务器，并启动后台服务以从其远程 C＆C 服务器获取攻击任务。当设备第一次被感染时，恶意软件会将短信发送到 C＆C 服务器提供的指定号码。 图3.恶意应用程序通过短信收集并发送受害者的设备信息 恶意软件收到 SMS 命令后，远程服务器将执行 URL 转发并点击广告欺诈。 在其点击欺诈例程中，恶意软件会收到执行无线应用协议（WAP）任务的远程命令。 在此之后，将注入恶意的 Javascript 代码替换正则表达式。据悉，这是一系列定义搜索模式的字符，允许恶意行为者在特定的搜索字符串中解析广告的 HTML 代码。随后，恶意软件会秘密打开设备的移动数据，解析图像 base64 代码，破解 CAPTCHA ，并将完成的任务发送至远程服务器。 图4.恶意应用程序上传将用于订阅高级短信订阅服务的令牌 此外，恶意软件还可以将用户服务提供商的信息以及登录信息和验证码图片上传到 C＆C 服务器。一旦上传，C＆C 服务器就会自动处理用户的高级短息服务服务订阅，从而进行流量欺诈。 目前趋势科技称其已向 Google 披露了该恶意软件， Google Play Protect 也设置了保护措施来避免用户收到侵害。 更多详细内容可查看 Trend Micro 分析报告原文： <First Kotlin-Developed Malicious App Signs Users Up for Premium SMS Services> 消息来源：TrendmMicro，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

据外媒 12 月 20 日报道，捷克软件公司 Avast 近日发现，一款新型 Android 恶意软件 Catelites Bot 伪装成 2200 多家银行（包括桑坦德银行和巴克莱银行等）应用软件，利用“屏幕覆盖攻击”窃取用户银行账户与密码信息。 Avast  在其博文中指出，Catelites Bot 与一款由俄罗斯网络黑帮发布的 CronBot 有一些相似之处， 因此研究人员认为 Catelites Bot 也可能与该黑帮有关联。 据报道，该网络黑帮近期已被警方捣毁，曾利用 “ CronBot ” 木马感染了超过 100 万用户，盗取金额达 90 万美元。 虽然没有任何证据表明恶意软件 Catelites Bot 的开发者与 CronBot 有关联，但目前该恶意开发者可能已经掌握了 CronBot 的相关技术并将其用于自己的攻击活动中。 Catelites Bot 攻击方式 研究人员透露，Catelites Bot 主要通过第三方应用程序商店进行传播。近几个月来，几乎每周都有“虚假应用程序”攻击 Android 设备的案例。恶意软件 Catelites Bot 首先会尝试获取管理员权限，然后自动并交互式地从 Google Play 商店中提取其他 Android 银行应用程序的图标和名称，之后再利用“屏幕覆盖攻击”——即伪造的银行 APP 登录界面覆盖其他正规应用程序的方式来欺骗用户，以便于获取用户名、密码和信用卡信息。（“屏幕覆盖攻击”的典型代表，编者注） 虽然伪造的登录界面和真实的应用程序界面不完全相同，但黑客能够通过广撒网的方式达到目的。通常情况下，新 Android 用户可能更容易受骗上当。 “目前为止， Catelites Bot 恶意软件主要针对的是俄罗斯用户群体，它还处于一个早期测试阶段，或将扩散至全球更大范围，就统计结果显示目前至少有 9000名用户设备受到感染 ” 研究人员表示。 此外，Avast 和 SfyLabs 团队发现恶意软件 Catelites Bot 还有一些尚未激活的功能，如文本拦截（通常需要访问双重验证码）、擦除设备数据、锁定智能手机、访问电话号码、查看消息对话、强制密码解锁、甚至更改扬声器音量等。 研究人员建议，由于 Catelites Bot 是通过非官方渠道传播的，因此对用户而言将手机设置为仅接受来自官方应用商店（如 Google Play）的应用下载非常重要。同时，通过确认程序界面来检查银行应用是否被覆盖也是预防恶意软件攻击的必要措施。 消息来源： IBTimes，编译：榆榆，校审：FOX 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

赛门铁克的安全研究人员近期发现了一种通过官方应用市场 Google Play 传播的恶意程序 Android.Sockbot。据悉，该恶意程序冒充正规应用感染设备后添加到僵尸网络之中。研究人员发现了至少 8 个应用，其下载量在 60 万至 260 万。 调查显示，恶意软件主要针对美国用户，但俄罗斯、乌克兰、巴西和德国也有它的踪影出现。目前，Google 已经将这些应用移除。对恶意应用的分析发现，应用程序通过 9001 端口与 CC 服务器相连，以接收相关命令。CC 服务器使用 SOCKS 请求该应用程序打开套接口，之后在指定端口等待一个来自指定 IP 地址的连接。在通过指定端口的 IP 地址给出连接后，CC 服务器将发出连接目标服务器的命令。 研究人表示，恶意应用程序将连接到所需目标服务器，并开始接收广告列表和相关元数据（广告类型、屏幕尺寸和名称）。该应用程序使用相同的 SOCKS 代理机制，在接收命令后与广告服务器相连并发出广告请求。但它并没有显示广告的功能。 稿源：solidot奇客，封面源自网络；