据外媒 6 月 8 日报道，卡巴斯基实验室研究人员在 Google Play 商店发现一款新型 Android 恶意软件 Dvmap，允许禁用设备安全设置、安装第三方恶意应用程序并在设备系统运行库时注入恶意代码以获取持久 root 权限。 有趣的是，恶意软件 Dvmap 为绕过 Google Play 商店安全检测，首先会将自身伪装成一款安全的应用程序隐藏在益智游戏 “ colourblock ” 中，然后在短时间内升级为恶意版本。据称，该款游戏在被移除前至少下载 50,000 次。 调查显示，木马 Dvmap 适用于 32 位与 64 位版本 Android 系统。一旦成功安装，恶意软件将尝试在设备中获取 root 访问权限并安装多个恶意模块，其中不乏包含一些中文模块与恶意软件 “ com.qualcmm.timeservices ” 。为确保恶意模块在系统权限内执行，该恶意软件会根据设备正在运行的 Android 版本覆盖系统运行库。而在完成恶意应用程序安装后，具有系统权限的木马会关闭 “ 验证应用程序 ” 功能并修改系统设置。 据悉，第三方恶意应用程序主要将受感染设备连接至攻击者 C&C 服务器并向其转交设备控制权限。目前，虽然研究人员仍对恶意软件 Dvmap 进行检测，但并未观察到源自受感染 Android 设备的任何恶意命令。为防止用户设备遭受感染，研究人员建议用户在安装任何应用程序前（即使从 Google Play 商店下载）始终验证应用权限并仅授予应用程序必要权限。 附: 卡巴斯基实验室分析报告《 Dvmap: 首款代码注入式 Android 恶意软件》 原作者：Mohit Kumar，译者：青楚 ，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 25 日报道，安全研究人员于近期发现一种新型攻击手段 Cloak and Dagger（ “ 斗篷与匕首 ” ），允许黑客完全控制任意版本的 Android 设备（ 包括最新版本 7.1.2 ）、窃取私人敏感数据，其中包括击键与聊天记录、设备 PIN 码、在线帐户密码、OTP 动态口令与通讯录联系人信息等。 有趣的是，此攻击手段并非利用 Android 生态系统中的任何漏洞，而是滥用流行应用商城中广泛使用的合法权限访问 Android 设备上的某些功能。Cloak and Dagger 主要利用 Android 系统的两项基本权限： SYSTEM_ALERT_WINDOW（ “ draw on top ” ）：合法覆盖功能，允许应用程序在 Android 设备屏幕上覆盖其他应用程序。 BIND_ACCESSIBILITY_SERVICE（ “ a11y ” ）：帮助残障人士与视力受损的用户通过语音命令输入信息或使用屏幕阅读功能收听事件内容。 由于 Cloak and Dagger 无需利用任何恶意代码执行木马程序，因此黑客极易开发并提交恶意应用程序且不易被谷歌商店发现。据悉，黑客可在安装恶意应用程序后执行各种操作，主要包括高级劫持攻击、无限制访问击键记录、隐身网络钓鱼攻击、静默安装获得所有操作权限的 God-mode 应用、在保持屏幕关闭的状态下解锁手机进行任意操作等。 简而言之，黑客可以暗中接管用户 Android 设备并监视设备上的一举一动。目前，虽然研究人员已向 Google 披露该攻击手段，但由于此类问题源自 Android 操作系统设计缺陷且涉及两个标准功能的正常运行，因此该问题恐怕一时无法解决。安全专家建议用户始终从 Google Play 商店下载应用程序并在安装应用程序之前仔细检查权限设置。 原作者：Swati Khandelwal， 译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒 25 日报道，Check Point 网络安全研究人员发现一款隐藏在 Pokemon GO 与 FIFA Mobile 等 40 多种盗版流行游戏指南应用程序中的恶意软件 FalseGuide 。目前，Google Play 官方应用商店约 60 万 Android 用户已被成功诱导安装该恶意软件。 研究人员开始认为盗版指南最早于今年 2 月上传至 Google Play 应用商店，经过深入调研后发现其实类似应用程序早在 2016 年 11 月就已存在。初期数据显示，恶意软件 FalseGuide 已感染超过 60 万用户设备，而目前已有 200 万 Android 用户设备遭受感染。据悉，所有受害者都在找寻喜爱的游戏指南时不幸中招。 FalseGuide 在受感染设备中悄然创建一个用于传播广告软件的僵尸网络并在安装过程中请求设备管理员权限以避免检测。报告显示，恶意软件将自身注册成与应用程序名称相同的 Firebase Cloud Messaging 主题。一旦该主题被订阅，FalseGuide 将接收包含跳转至其他模块链接的消息并下载模块至受感染设备。 调查发现，僵尸网络通过后台服务显示非法弹出式广告。一旦设备启动，恶意软件当即运行。根据攻击者的目标，这些模块可能包含高强度恶意代码，可用于 root 设备、发起 DDoS 攻击，甚至渗透私有网络。据悉，此类盗版应用程序包括 FIFA Mobile、 Lego Nexo Knights、Lego City My City、Rolling Sky 等。 研究人员指出，移动僵尸网络自去年年初以来呈显著增长趋势。这种恶意软件通过首个组件的非恶意属性渗透 Google Play 应用商店，仅下载实际有害代码。目前，FalseGuide 已被从 Google Play 应用商店移除。 原作者：Gabriela Vatu，译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

安全公司 Lookout 与 Google 专家 4 日透露，安卓间谍软件 Chrysaor 感染移动设备逾三年终被发现。专家表示，Chrysaor 主要通过著名的安卓生根漏洞（称为 Framaroot） 感染移动设备并全面控制系统应用。 据悉，Chrysaor 是最为复杂的移动间谍软件之一，由以色列监视公司 NSO Group Technologies 开发。目前，安全专家已确定不到三十台安卓设备受到该间谍软件的攻击。调查表明，尽管间谍软件 Chrysaor 将以色列锁定为主要攻击目标，但格鲁吉亚、土耳其、墨西哥、阿联酋等国家也纷纷受到影响。 间谍软件 Chrysaor 主要实现功能： 从 Gmail、WhatsApp、Facebook、Twitter 等流行应用中窃取数据 基于 SMS 的命令远程控制设备 录制直播音频和视频 键盘记录和捕获截图 禁用系统更新以防止漏洞修补 监视联系人、短信、电子邮件和浏览器历史记录 自毁逃避检测 安全专家表示，虽然这些应用程序从未在 Google Play 中使用，但他们已经联系潜在受影响的用户禁用感染设备中的应用程序，并及时更改验证应用程序以确保用户系统的安全。 该间谍软件具有明显的自我毁灭能力，因此无法分析其攻击性能。事实上，早在 2014 年 NSO 科技公司就已在安卓操作系统中发现这一零日漏洞，并实施利用最新版本的恶意软件 Chrysaor 代码感染移动设备。 原作者：Pierluigi Paganini， 译者：青楚，审核：狐狸酱 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接