记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

Frida Java Hook 详解(安卓9):代码及示例(上)

Frida Java Hook 详解(安卓9):代码及示例(上) 前言 1.1 FRIDA SCRIPT的"hello world" 1.1.1 "hello world"脚本代码示例 1.1.2 "hello world"脚本代码示例详解 1.2 Java层拦截普通方法 1.2.1 拦截普通方法脚本示例 1.2.2 执行拦截普通方法脚本示例 1.3 Java层拦截构造函数 1.3.1 拦截构造函数脚本代码示例 1.3.2 拦截构造函数脚本代码示例解详解 1.4 Java层拦截方法重载 1.4.1 拦截方法重载脚本代码示例 1.5 Java层拦截构造对象参数 1.5.1 拦截构造对象参数脚本示例 1.6 Java层修改成员变量的值以及函数的返回值
发布时间:2020-05-28 12:38 | 阅读:2106 | 评论:0 | 标签:移动安全 api FRIDA Frida Java Hook HOOK JS 匿名函数 回调函数 安卓 拦截 方法重载

名为Coronavirus的安卓RAT木马正在爆发

恶意软件作者已经开始滥用最近的冠状病毒恐慌作为传播其恶意创作的手段,正如我们较早的博客之一所强调的那样。SonicWall Capture Labs威胁研究团队最近观察到了该策略在Android生态系统中的使用以及以远程访问木马(RAT)的形式使用。根据Virustotal和Koodous的上传日期(2020年2月上旬),发现了一个名为Coronavirus的Android apk,此示例似乎是相当新的。初步观察在安装和执行之后,此样本请求受害者重新输入设备上的PIN码/图形手势解锁并窃取它,同时反复请求辅助功能:神秘的类和加密的代码在查看代码结构时,很明显在此示例中使用了某种形式的打包/编码。类名称看起来是随机的,但它们本身具有结构,大多数类名称的长度相似,并且在名称上也具有相同的随机性。在检查Manifes
发布时间:2020-03-04 15:54 | 阅读:12696 | 评论:0 | 标签:威胁情报 首页动态 Coronavirus RAT木马 安卓

使用三星手机的童鞋们注意了!仿冒的三星固件升级APP已欺骗了一千多万安卓用户

超过1000万三星手机用户已经被骗安装了一款名为 "Updates for Samsung" 的仿冒的三星固件升级APP,在下载说明中,该应用会承诺用户,只要用户下载了它就会帮助他们更新手机固件。但实际上,诱骗用户下载后,它会将用户重定向到一个充满广告的网站,并对要升级的固件下载进行收费。CSIS安全集团的恶意软件分析师Aleksejs Kuprins今天在接受ZDNet采访时表示:我已经联系了谷歌Play商店,并要求他们考虑删除这个应用程序。该应用程序的幕后开发者很聪明,由于三星手机固件和操作系统的更新非常不便利,他们利用了用户贪图方便的心理,诱导用户下载,这也是为什么这个应用会在短时间内有如此多
发布时间:2019-07-06 12:25 | 阅读:249546 | 评论:0 | 标签:恶意软件 安卓

使用FRIDA为Android应用进行脱壳的操作指南

FortiGuard实验室最近遇到了很多加壳Android恶意软件。这类恶意软件一个很有趣的点是,尽管使用的加壳工具是一样的,但生成的恶意软件却常常会发生变化。正因为如此,我们想分享我们在处理分析这类恶意软件时出现的一些问题。
发布时间:2018-11-25 12:20 | 阅读:185876 | 评论:0 | 标签:技术 移动安全 FRIDA 安卓 Android

TK:安全的核心仍在于重视 移动安全应更多的考虑耦合风险

昨日,腾讯安全玄武实验室与知道创宇404实验室联合公布了“应用克隆”——这一针对安卓手机的最新攻击模型。该攻击可通过钓鱼链接实现漏洞利用,获取该手机特定app的登录凭证,窃取账户隐私信息,甚至进行消费。根据玄武实验室对国内200余款安卓市场主流app测试结果,有27款app存在此漏洞,受影响比例超过10%。漏洞威胁减弱是错觉 警惕多点耦合引入的新风险不同于部分手机自带的数据迁移(手机克隆)功能,此次玄武实验室公布的“应用克隆”是安全研究员利用漏洞实现的结果。在目标用户完全不知情的情况下,仅仅通过“钓鱼短信->恶意链接->访问特定页面”简单的三步,目标手机的app登录凭证就会被传输到攻击者手中。“两部手机的应用的登录状态几乎是完全同步的,账户的所有隐私信息也是可见的。”而攻击过程中涉及的部分技术点,是
发布时间:2018-01-10 19:50 | 阅读:203180 | 评论:0 | 标签:行业动态 404实验室 安全漏洞 安卓 漏洞修复 玄武实验室 移动安全 腾讯安全 移动

【干货分享】手把手教你Android Logcat组件安全

阅读: 17在应用的开发、调试和运行期间,往往需要日志信息跟踪,以此作为辅助手段定位问题、洞察程序运行细节等。在不同的开发阶段,日志信息存在差异。一般而言,开发版(Development Version)作为正在开发的内测版本,会有很多调试信息;而发行版(Release Version)是签名后发布给用户的正式版本,日志量会较少。那么,如何避免日志输出敏感信息呢?文章目录1. 日志输出介绍1.1 Log1.2 Log Native源码2. 风险分析2.1 Android 4.1之前2.2 Android 4.1 以及之后2.3 测试判断标准3. 测试3.1 Android 4.1之前读取日志信息3.2 Android 4.1及以后版本读取日志信息3.3 smali注入logcat4. 安全建议4.1 准则4.2
发布时间:2017-09-13 19:25 | 阅读:186615 | 评论:0 | 标签:安全分享 Android Android Logcat Android Logcat 安全 android 日志 and

如何手动注入Payload后门到安卓APK文件并维持访问

*本文原创作者:永生,本文属FreeBuf原创奖励计划,未经许可禁止转载 声明:本文内容可能具有攻击性,只供安全研究和警示作用,请勿用于非法用途,非法使用后果与我无关。 本人小白一枚,前段时间看到@鸢尾 大神写的文章《如何用kwetza给安卓应用加后门》。大神自己写的自动化注入工具,看过程也并不困难,我就产生了自己手动注入的想法,折腾了一天终于搞定了。 当然已经有有好多的自动化注入工具可以使用了,我先总结一下: 1.backdoor-apk :https://github.com/dana-at-cp/backdoor-apk 2.  spade:  https://github.com/suraj-root/spade 3. apk-embed-payload.rb:https://gis
发布时间:2017-05-03 23:10 | 阅读:201458 | 评论:0 | 标签:终端安全 APK Playload 安卓 注入 后门

安卓继承计算机端口开放功能 智能手机到处都是后门

对黑客而言,扫描开放端口——潜在受害主机上可能存在漏洞的响应式互联网连接,一直是在目标公司或机构建立桥头堡的最基本方法之一。然而,在一些流行但极少被研究的App“帮助”下,很多智能手机上也留下了大量的开放端口。这些很少被考虑到的连接,可让黑客很容易地进入千万台安卓设备。 密歇根大学的一组研究员发现,Google Play 中数百个应用有非预期的行为:通过将手机转变为服务器,让应用拥有者可以从他们的PC,直接连接安装了该应用的手机,就像访问网站或其他互联网服务一样。但有数十个这些App会在智能手机上留下不安全的开放端口,让攻击者能够盗取手机联系人、照片等数据,甚至在手机上安装恶意软件。 IEEE安全与隐私欧洲研讨会上,密歇根大学研究员贾云涵说道:“安卓继承了传统计算机的开放端口功能,很多应用以暴露出漏洞的方式使
发布时间:2017-05-02 22:05 | 阅读:171840 | 评论:0 | 标签:威胁情报 安卓 端口安全 后门

百名以色列士兵被“性感女郎”诱惑 中招安卓恶意软件

超100名以色列国防军军人的安卓手机感染了网络间谍组织的恶意软件 以色列国防军(IDF)中超过100名主要驻扎在加沙地带的军人,沦为了网络间谍攻击受害者,手机中信息被恶意安卓应用盗窃一空。 卡巴斯基实验室与IDF信息安全部门合作调查该事件,发现该攻击行动自去年7月开始,一直持续到现在。 这些以色列士兵都是通过 Facebook Messenger 之类社交网络,被伪装成各国性感女郎的黑客诱惑上钩的。受害者被引诱安装恶意安卓应用,然后该恶意应用便开始扫描手机,并下载伪装成手机上已安装应用更新包的另一恶意App。 比如说,卡巴斯基的研究人员就观察到了名为“WhatsApp_Update”的恶意负载。一旦安装到手机上,该恶意App可使得黑客按需执行既定命令。命令可以是读取短信、访问联系人列表、照相和截屏、定时窃听,
发布时间:2017-02-20 20:00 | 阅读:135783 | 评论:0 | 标签:牛闻牛评 以色列 安卓 恶意软件

大量开发者会将访问token和API密钥硬编码至Android应用

现如今,许多开发者仍然习惯于将access token(访问凭证)和API key(API密钥)等敏感内容编码到移动APP中去,将依托于各种第三方服务的数据资产置于风险中。 机密信息易遭泄漏 网络安全公司Fallible一项最新的研究结果(点击查看)显示:在统计到的16,000多个安卓应用中,有约2,500个应用都出现开发者将机密凭证硬编码进去的情况。统计工具为去年11月该公司生产的在线扫描程序。 应该说,当需要提供的访问只在有限的范围内时,将第三方服务的访问凭证硬编码到应用程序中的做法还是可以理解的。但在某些情况下,开发者如果将允许访问机密数据或关键系统的key也加入进去,就很容易产生问题。 比如,在Fallible本次的统计中,有304个APP就出现了这种情况。这些APP包含了为如Twitter,Drop
发布时间:2017-02-04 14:05 | 阅读:181049 | 评论:0 | 标签:数据安全 终端安全 app安全 安卓 数据泄露 Android

Android是今年的漏洞之王?CVE Details的数据根本就不靠谱!

在刚刚过去的一月份,与往年相同,媒体们又在忙着报导过去一年的漏洞统计。同样,CVE Details的小伙伴们也精心准备了基于CVE(Common Vulnerabilities & Exposures,公共漏洞和暴露)统计的大把夸张数据。媒体朋友们也照例频频赏光咬饵,发布的都是诸如“安卓当选2016漏洞之王”一类吸引眼球的头条。(看着眼熟?) 尽管这些头条可能每年都会让热衷此类话题的人觉得有趣,但安全研究者Craig Young却认为,在这种表象之下很少被提及的一点是: 这些统计数字几乎毫无意义,也没能就不同产品间的安全性做出任何比较。 下面这篇文章将解释他这样说的原因。同时,作者也鼓励有兴趣了解更多的人去观看Steve Cristey和Brian Martin在2013年Black Hat大会上的
发布时间:2017-02-02 12:20 | 阅读:157913 | 评论:0 | 标签:观点 CVE 安卓 漏洞 Android

Android系统中也存在Web注入吗?

有一类专门针对浏览器的攻击,被称为浏览器中间人(MITB)攻击。想要实现这类攻击,方式也非常的多,像恶意 DDL 注入,扩展欺骗或将一些特制的恶意代码注入到浏览器页面中,欺骗代理服务器等。MITB攻击的目的,相比那些较常见的中间人攻击也有所不同。一般的中间人攻击,例如链路劫持投放一些商业性广告,或窃取某些用户量较大网站,用户账户里的虚拟财产为攻击目的。相关报道,可参见 Lurk case。 当MITB类攻击的目标为网上银行时,通常会使用 web 注入攻击。这种攻击,会将一段恶意代码注入到网上银行服务页面中,以此来拦截一次性SMS消息,收集用户信息,欺骗银行详情等。例如,我们巴西的同事发布了一篇,关于用户打印 Boletos 的,条形码欺骗攻击的长篇报告。这篇报告同时也成为了非常受欢迎的银行文档,并被巴西银行和
发布时间:2017-01-25 21:55 | 阅读:174182 | 评论:0 | 标签:数据安全 终端安全 Android 安卓 木马 移动安全 注入

安卓无线渗透利器:Hijacker

Hijacker 是一个安卓平台下的无线渗透工具。它的功能非常强大,几乎集成了 aircrack-ng 套件,mdk3 和 reaver 这些工具的功能。而且采用图形化用户界面,相比命令行界面,使用起来也更加的方便简单! 想要成功运行 Hijacker,我们首先需要一台 Android 设备 和一块支持监听模式的无线网卡。这里需要说明的是,只有少数一部分 Android 设备支持该模式,但是它们没有一个是原生的  Android 系统。这意味着你需要自定义一个固件。这里我推荐大家使用 Nexus 5 设备,它使用的 BCM4339 芯片(除此之外,像 Xperia Z2,LG G2 等设备使用的 MSM8974 芯片)都可以很好的与 Nexmon 驱动(同时它还支
发布时间:2017-01-05 21:00 | 阅读:758385 | 评论:0 | 标签:工具 无线安全 Android 安全工具 安卓

谁给了你第一个手机病毒?安卓手机病毒来源分析

用户手机的第一个病毒从何而来?这篇文章也许能给你答案。 新应用安装概况 在用户下载安装应用之时,Clean Master会对下载的文件进行安全扫描,仅从Clean Master扫描数据来看,几乎每天都有上千万次的应用安装行为。 应用的安装来源分布如下图二所示。据统计,约有1/3的应用是在用户未设置installer的情况下安装的。这意味着这些应用的来源无法被监控,也就是下图二中的‘未知’来源。绝大部分手机病毒都隐藏在这部分‘未知’来源的应用中。   主要安装源中病毒相关的行为: 1.  GooglePlay安装源:     自动/网页广告/用户解锁/点击弹出的广告等来打开Google Play市场到指定的推广app页面,诱导下载  &nb
发布时间:2016-10-18 22:05 | 阅读:154671 | 评论:0 | 标签:安全报告 终端安全 安卓 手机病毒

新版勒索软件使用伪随机密码锁住安卓设备

安卓锁屏勒索软件已经出现一段时间了,但现在,新版安卓勒索软件更加强大而多变。之前,勒索软件惯于使用硬编码的密码来锁屏,但专家可以逆向工程出该密码,让受害者得以解锁自己的设备。然而,新版本勒索软件中,攻击者让逆向工程毫无用武之地,因为它们使用了伪随机密码。鉴于此,受害者也就无法解锁自己的设备,只能乖乖支付赎金。 攻击者还给新版勒索软件配备了与设备自有锁屏相关联的自定义锁屏。这给受害者造成了另一个问题。必须指出的是,此类木马在投放给毫无防备的用户之前就直接生成在移动设备里了。 伪随机密码是什么鬼? 设备若被该恶意软件感染,会产生一个自定义系统错误消息窗口,覆盖在每一个用户可见界面之上。该恶意软件还会通过该窗口显示恐吓信息,让用户与攻击者联系以获得解锁密码。 旧版安卓锁屏勒索软件硬编码解锁密码在自身中,但新版将之替
发布时间:2016-10-07 04:05 | 阅读:118046 | 评论:0 | 标签:威胁情报 伪随机码 勒索软件 安卓

QQ浏览器(Wormable Browser) 漏洞报告

漏洞说明 安卓版QQ浏览器,QQ热点等应用程序在本地wifi开始时,会监听本地8786端口,且监听本地所有ip地址。当攻击方和被攻击方处于同一局域网环境时,通过该接口,可在局域网内运行QQ浏览器,QQ热点的设备中上传数据、启动应用安装等。当这些应用拥有root权限时,可静默安装移动应用。攻击方和被攻击方处于不同局域网环境时,可通过恶意链接,远程植入,感染与被攻击方所在局域网内所有运行安卓版QQ浏览器,QQ热点等应用的主机。 漏洞详情 发现过程:通过Janus平台搜索发现,QQ浏览器会在本地开启服务。 应用在获取到连接时会在handle方法进行处理。 通过bind命令,可以通过连接验证。然后利用其他命令,如downloadandinstall进行远程控制。 漏洞证明 1、远程获取已安装应用列表。#!/us
发布时间:2016-09-30 05:05 | 阅读:124305 | 评论:0 | 标签:终端安全 Janus平台 QQ浏览器 QQ热点 安卓 漏洞报告 漏洞

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云