记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

Gaza Cybergang在移动端对阿拉伯语地区的攻击事件

一、背景  Gaza Cybergang又名Gaza黑客军团,是一个使用阿拉伯语且有政治动机的网络犯罪组织。其进行情报收集的主要地区位于中东和北非(MENA),特别是巴勒斯坦领土。包括卡巴斯基在内的多家安全厂商都曾对其在PC平台的鱼叉攻击行为发布过多篇报告,但是尚未有安全厂商对该组织在移动平台的犯罪活动进行披露,随着移动平台的日益重要和情报价值的进一步凸显,AVL移动安全团队注意到一起由该组织实施的移动端攻击行为,并捕获了一系列恶意代码。下面,AVL安天移动安全将以此事件为蓝本进行具体分析说明,希望能对于这期MAPT行为进行深度还原,为基于移动平台的高级持续性威胁防范提供防御借鉴思路。
发布时间:2019-07-22 23:15 | 阅读:285285 | 评论:0 | 标签:病毒播报 移动

VirtualAPP技术应用及安全分析报告

一、引言  VirtualApp(简称:VA)是一款运行于Android系统的沙盒引擎框架产品,可以理解为轻量级的“Android虚拟机”。VA具有免安装、多开、内外隔离及对于目标App完全控制的能力。VA从表现形式上属于动态加载,但是从技术本质上来说还是通过增加VAMS对启动Intent进行修改,拦截和代理Android系统消息,并且通过自定义的ClassLoader加载和构造未在VA的AndroidManifest.xml中声明的组件,以达到对目标App的控制效果。
发布时间:2019-07-08 11:15 | 阅读:275010 | 评论:0 | 标签:病毒播报

安天移动安全反病毒技术发展报告——安天移动恶意代码对抗的8年之路

一、前言  2010-2018年,八年来移动互联网产业发生着巨大的变化。而在这八年间,黑产势力也乘着移动互联网高速发展的东风,持续扩大产业和恶意攻击规模。Android作为拥有最大市场的移动智能设备平台,其移动恶意代码无疑是近年来最主流的移动安全威胁之一。  本文通过移动恶意代码对抗视角,回顾移动恶意代码技术发展路径,并介绍安天移动安全自2010年成立至今所始终坚持的移动恶意代码对抗的八年之路以及对未来移动恶意代码对抗趋势的理解,分享八年来安天移动安全对移动恶意代码对抗的所见、所思与所为。此外,我们还将在2019年3月发布2018年移动安全威胁年报,分享更深度的移动安全威胁和技术透视。
发布时间:2019-02-01 11:10 | 阅读:449868 | 评论:0 | 标签:病毒播报 移动

gpSystem:一种可私自注册google账号的病毒

  近期安天移动安全和猎豹移动联合捕获到病毒gpSystem,该病毒植入在应用程序private,程序运行后便隐藏图标,进行下载提权相关文件、联网获取数据模拟点击注册google账号、上传用户账号、固件等信息等一系列恶意行为,造成用户资费损耗和隐私泄露风险。目前安天移动安全联合猎豹移动已实现对该病毒的检测查杀,建议用户安装猎豹安全大师等集成安天移动安全反病毒引擎的安全产品,定期进行病毒检测,一旦被感染需及时卸载恶意应用。以下是针对该病毒的详细分析。
发布时间:2018-07-17 23:10 | 阅读:105436 | 评论:0 | 标签:病毒播报

微信支付SDK XXE高危漏洞预警与应急响应

一、概述  近日,国外安全社区 Seclists.Org 披露了微信支付官方 SDK 存在严重的 XXE 漏洞,可导致商家服务器被入侵,且黑客可避开真实支付通道,用虚假的支付通知来购买任意产品 。目前,漏洞详细信息以及攻击方式已被公开,影响范围巨大(已确认陌陌、vivo因使用该SDK而存在该漏洞)。该漏洞利用成本低,极易被攻击者利用攻击。  漏洞披露后,安天移动安全针对该漏洞进行分析并结合支付行业特点,界定漏洞危害以及对支付行业影响。安天移动安全第一时间针对支付行业发布微信支付SDK XXE高危漏洞预警,并启动了安全应急响应,提出了针对支付行业支付后台系统应对措施的建议。
发布时间:2018-07-05 23:10 | 阅读:146446 | 评论:0 | 标签:病毒播报 漏洞

testService间谍病毒的“七年之痒”

一、概述  近期安天移动安全和猎豹移动联合捕获到间谍家族Trojan/Android.testServiceSpy的一些新的病毒样本,截至目前,捕获到的样本9成以上都是名为”testService”的测试样本,故称之为testService间谍病毒。从时间节点上来看,近年我们也有陆续捕获到该家族的一些其他样本,如Angel、Angel001、testzhixing、True、helloworld等。在最新发现的样本中,有3个具有钓鱼性质的应用,我们对其进行了详细分析,以期还原这个家族样本的技术细节。
发布时间:2018-07-02 23:10 | 阅读:123054 | 评论:0 | 标签:恶意代码技术 病毒播报 间谍病毒 间谍病毒,移动安全

ZipperDown漏洞,炒作还是一触即发?

一、概述  近期,ZipperDown漏洞被披露,该漏洞影响Android和iOS两大平台,其中iOS应用市场多达10%的应用存在该漏洞,且不乏多款热门应用,引发业界强烈反响。安天移动安全第一时间启动对该漏洞的应急响应,希望客观公正地反映其对支付行业的影响。调查研究发现,该漏洞是由于开发人员未对压缩包中的解压路径进行校验,导致攻击者可通过构建恶意压缩包进行路径穿越攻击,且行业中有超过3成的应用存在该漏洞。然而该漏洞的真实影响还需具体结合应用业务进行排查,不应过分夸大,更不应忽视,安天移动安全将免费提供技术支持携手相关各方联手进行安全排查,将风险降至最低。
发布时间:2018-05-23 11:10 | 阅读:127276 | 评论:0 | 标签:病毒播报 漏洞

不仅仅是利比亚天蝎

前言  2016年9月,安全厂商Cyberkov发布了名为利比亚天蝎的安全报告[1],报告中指出,一批恶意软件通过社交程序Telegram广泛传播,主要针对有影响力的社会名流和政治人士。当时,安天移动安全和猎豹移动进行了持续跟进,并发现该恶意软件进行了持续的更新和改进,攻击的目标国家也从利比亚转移到了其他国家和地区。该系列恶意软件根据不同的攻击目标进行精心的伪装,充分了解攻击目标的风俗文化和手机使用习惯,诱导目标群体安装,获取大量的隐私信息,具有很高的组织性和隐蔽性,以下我们将对该攻击进行详细的说明,以期能够对事件尽可能的勾勒。
发布时间:2018-05-17 23:10 | 阅读:226603 | 评论:0 | 标签:病毒播报

安天移动安全发布恶意广告软件RottenSys深度分析报告

一、事件背景  2018年3月14日,国外安全厂商Checkpoint发布报告,声称自2016年来近500万手机设备感染了名为RottenSys的恶意代码,并且指出包括华为、OPPO、vivo、魅族、金立等在内的国产手机设备被感染。随后国内科技媒体进行也了广泛的翻译和转载。鉴于此,安天移动安全进行了深入的分析。二、样本基本信息  典型样本信息如下:   恶意行为描述:  该程序包含风险代码,可在后台私自下载恶意插件并静默安装,进行远程控制命令以及对用户手机进行root,从而频繁推送广告并进行应用分发。消耗用户流量资费,影响用户体验。
发布时间:2018-03-19 23:10 | 阅读:192589 | 评论:0 | 标签:病毒播报 恶意广告软件 移动

移动端C#病毒“东山再起”,利用知名应用通信实现远控隐私窃取

  伴随着手机的全面普及和移动互联网的发展,以移动终端为平台的攻防对抗也愈演愈烈。针对日益升级的恶意代码检测技术,恶意攻击者的反查杀手段相应也在不断变化应对。早在2015年,安天移动安全就发现一例利用C#编写以逃避查杀的恶意代码,并对其进行了技术分析。
发布时间:2017-12-28 00:20 | 阅读:204151 | 评论:0 | 标签:病毒播报 移动

安天移动安全:Janus高危漏洞深度分析

一、背景介绍  近日,Android平台被爆出“核弹级”漏洞Janus(CVE-2017-13156),该漏洞允许攻击者任意修改Android应用中的代码,而不会影响其签名。 众所周知,Android具有签名机制。正常情况下,开发者发布了一个应用,该应用一定需要开发者使用他的私钥对其进行签名。恶意攻击者如果尝试修改了这个应用中的任何一个文件(包括代码和资源等),那么他就必须对APK进行重新签名,否则修改过的应用是无法安装到任何Android设备上的。但如果恶意攻击者用另一把私钥对APK签了名,并将这个修改过的APK对用户手机里的已有应用升级时,就会出现签名不一致的情况。
发布时间:2017-12-23 01:05 | 阅读:244737 | 评论:0 | 标签:病毒播报 漏洞 移动

安天移动安全发布“大脏牛”漏洞分析报告(CVE-2017-1000405)

一、背景简介  脏牛漏洞(CVE-2016–5195)是公开后影响范围最广和最深的漏洞之一,这十年来的每一个Linux版本,包括Android、桌面版和服务器版都受到其影响。恶意攻击者通过该漏洞可以轻易地绕过常用的漏洞防御方法,对几百万的用户进行攻击。尽管已针对该漏洞进行了补丁修复,但国外安全公司Bindecy对该补丁和内容做出深入研究后发现,脏牛漏洞的修复补丁仍存在缺陷,由此产生了“大脏牛”漏洞。基于多年以来针对移动端漏洞的技术积累和安全对抗,安天移动安全对“大脏牛”漏洞进行了详细的技术分析,并提供了验证方案,全文如下。
发布时间:2017-12-18 22:40 | 阅读:201504 | 评论:0 | 标签:病毒播报 漏洞 移动

窃私病毒染指社交软件,安天移动安全与猎豹联合披露

  随着移动互联网的发展和智能手机的普及,社交网络焕发出新的活力,移动社交受到人们的欢迎,移动社交APP也成为最流行的手机应用程序之一。与此同时,社交软件作为个人隐私信息的重要载体,也被恶意攻击者所觊觎。  近期,安天移动安全与猎豹移动就联合捕获到一例窃取社交软件信息等个人隐私的恶意样本,通过详细的深入分析后发现,该恶意样本通过伪装成正常应用潜入用户手机,一旦运行就会接受远程控制命令展开一系列的恶意行为:监听用户通话、拦截并窃取用户短信、联系人、历史通话记录、浏览器历史记录、地理位置等隐私信息,并通过短信和http等方式回传隐私信息。
发布时间:2017-10-24 10:00 | 阅读:132299 | 评论:0 | 标签:恶意代码技术 病毒播报 窃私病毒 移动

安天移动安全联合猎豹移动首次揭露“Operation Manul”疑似在Android端的间谍软件行为

前言  去年8月份,美国黑帽大会曾公开发表了一篇报告,揭露了名为“Operation Manul”的组织针对该国相关人士进行的大面积网络攻击和窃听行为,并分析了其在PC端使用的窃听技术及域名。  通过对报告中披露的多个用做指令控制和文件上传的C2 Server域名进行内部检索对比,安天移动安全联合猎豹移动发现了一批相关恶意样本,分析发现该间谍软件通过伪装成海外知名应用潜入目标用户手机,在获取权限后会展开一系列窃听行为:私自拍照、录音,并窃取用户短信、通讯录、地理位置等隐私信息,而后将相关数据上传至远程服务器。
发布时间:2017-08-12 18:30 | 阅读:192209 | 评论:0 | 标签:病毒播报 行业观点 间谍病毒,移动安全, Android 移动

2017上半年移动安全报告 | 猎豹移动与安天移动安全联合发布

关于安天移动安全  安天移动安全公司成立于2010年,是安天实验室旗下专注于移动互联网安全技术与安全产品研发的企业,旨在为全球移动终端用户和厂商提供专业的安全防护能力和解决方案。  安天移动安全公司核心产品体系为AVL Inside移动反病毒引擎和AVL Insight移动威胁情报平台。AVL Inside曾以年度最高平均检出率荣获国际权威测评机构AV-TEST颁发的“移动设备最佳防护”奖项,实现中国安全厂商在全球顶级安全测评领域重量级奖项零的突破。
发布时间:2017-08-09 22:45 | 阅读:138334 | 评论:0 | 标签:病毒播报 行业观点 移动安全,安卓病毒,恶意URL 移动

安天移动安全联合猎豹揭秘无形之贼Dosoft免杀病毒

  网络安全的核心本质是攻防对抗。当安全工作者使用手上的安全武器保卫网络安全时,恶意攻击者也在想方设法予以对抗、夹缝求生。“免杀病毒”便是正邪对抗的产物。免杀是一种避免被杀毒软件查杀的技术,利用这种技术,免杀病毒可以在杀毒软件面前肆无忌惮地实施恶意行为而不被发现。
发布时间:2017-07-24 21:50 | 阅读:154314 | 评论:0 | 标签:病毒播报 移动

真假应用傻傻分不清,HideIcon病毒玩起“隐身计”

  伪装成流行应用是手机病毒的常见手段,对于那些没有实际功能的病毒,细心的用户可能很快会发现自己安装了仿冒的应用,但是这次病毒使用了新的招数……  近期猎豹安全实验室和安天移动安全团队捕获了一款通过伪装成流行应用进入用户手机的病毒——HideIcon病毒,该病毒为了让自己伪装得更逼真,运行后先隐藏自身图标,后续以应用更新的方式提示用户下载所伪装的正版应用。在用户安装正版应用、放松警惕的同时,实际病毒已经开始在后台悄悄运行。在成功获取用户信任之后,病毒会进行推送各种广告、下载其他恶意插件的行为,长期消耗用户的流量资费,对用户的个人隐私造成严重威胁。
发布时间:2017-06-29 12:25 | 阅读:144736 | 评论:0 | 标签:病毒播报

下个软件就能免费充Q币?知道真相的我眼泪掉下来…

  王者荣耀作为时下热门手游火遍了大江南北,朋友见面来一局,不可避免的要“开黑”、“上钻石”,而“开黑”前再搭配一款“狂拽酷炫”的英雄皮肤,一身精致look(装扮)外加属性加成在手,打怪升级自然嗖嗖的!  然而游戏中英雄皮肤的价格并不便宜,对于许多学生玩家来说更是一笔不小的花销。当你为皮肤的价格烦恼时,收到消息说可以免费刷Q币,你会不会动心呢? 消息截图手把手“刷币”教程,“500Q币”如探囊取物  上图中,朋友的消息里附带了免费刷Q币的直播地址,页面中包含一段视频和两个应用下载链接。
发布时间:2017-06-22 11:15 | 阅读:413240 | 评论:0 | 标签:病毒播报

安天移动安全关于“Dvmap”安卓恶意软件分析报告

一、分析背景  2017年6月8日下午,国际知名反病毒厂商卡巴斯基(Kaspersky)发布名为《Dvmap: the first Android malware with code injection》(《Dvmap:第一种具备代码注入能力的安卓恶意软件》)的分析报告。由于该报告所涉及恶意样本为第一种对Android系统平台运行库进行恶意代码注入的恶意软件,且在报告中提及该恶意软件所包含的“.root_sh”脚本文件中存在中文注释,这引起安天移动安全分析团队高度重视,当即组织专业人员对该报告中所涉及恶意软件样本进行紧急分析。
发布时间:2017-06-09 18:45 | 阅读:170708 | 评论:0 | 标签:病毒播报 恶意软件,Android安全,恶意代码 移动

安天移动安全2017年Q1移动终端钓鱼网站分析报告

一、前言  随着移动互联网的快速发展,智能手机、平板电脑等移动终端用户数量呈爆发式增长,移动智能终端安全问题愈发凸显。大量手机病毒、伪基站横行,不法分子利用钓鱼短信、虚假网站进行电信欺诈的恶意活动也愈演愈烈,严重影响了广大用户的日常生活。  本报告数据来源于安天移动安全旗下的URL安全检测系统,该系统通过识别钓鱼、色情、博彩以及恶意应用下载等非法网址,为用户提供URL安全防护功能和服务。本报告重点分析了2017年第一季度(Q1)移动终端钓鱼网站整体情况,帮助用户全面了解移动钓鱼网站特性,提高用户安全防范意识,进一步保障用户隐私、资金安全。
发布时间:2017-05-28 05:40 | 阅读:151589 | 评论:0 | 标签:病毒播报 仿冒 移动终端 网络钓鱼 移动

震惊!你可能下了个假的抢红包神器

  手机红包自2014年出现便深受网民追捧,如今更是成为各大节日的“标配”。随着人们抢红包热情的高涨,各种抢红包软件应运而生,这类软件巧妙地帮助用户解决了漏抢红包的问题,具有手速无法比拟的抢包速度,抢包技能简直开挂,堪称抢红包神器,深受用户喜爱。  然而病毒开发者也瞄准了人们对抢红包软件的迫切需求,借此机会开发了大量仿冒应用鱼目混珠。通过调查发现,大量受害者都是从不知名渠道下载应用而中招。
发布时间:2017-03-16 11:10 | 阅读:177999 | 评论:0 | 标签:病毒播报 仿冒抢红包 安天移动安全 广告推送 私自下载 窃取社交账号 隐私窃取

国内某知名应用市场遭仿冒,EvilPea病毒也玩起O2O

   近期, 某社交应用正式推出了LBS+AR天降红包,用户需要在指定地理位置开启摄像头,就能抢到对应的红包,这种线上结合线下抢红包的模式称为O2O(online to offline)抢红包。
发布时间:2017-01-24 02:15 | 阅读:195650 | 评论:0 | 标签:病毒播报 EvilPea O2O 仿冒 安天AVL移动安全团队 小米MIUI

当攻击者熟读兵法,Camouflage病毒实战演示暗度陈仓之计

   “明修栈道,暗度陈仓”的典故许多人都听说过,该典故出自楚汉争霸时期,刘邦意图进入关中,需要攻下关中咽喉之地——陈仓。韩信献出一计:表面上浩浩荡荡地修复通往陈仓的栈道以迷惑陈仓守将,暗地里派兵从小道偷袭陈仓。最终刘邦采用此计一举夺取关中之地,为后续争霸天下铺路。   通过表面的行动迷惑敌人,隐藏自己的攻击路线,暗地里实施真正的攻击,这一直是战争中的常用手法。如今这一手法却被恶意开发者学了去,在病毒中使用该手法迷惑感染用户,攻击用户手机于无形之中。
发布时间:2016-12-07 04:05 | 阅读:178665 | 评论:0 | 标签:病毒播报 Camouflage root 推送广告 暗度陈仓 病毒

Trick蠕虫病毒来袭!幕后主使竟是一名高中生“黑客”!

  黑客一直是美国电影中的重要元素,很多经典大片中都有黑客的身影,如战争游戏、黑客帝国等。电影中黑客总是神通广大、行侠仗义,《战争游戏》中的年轻黑客大卫•莱特曼利用黑客技术避免引爆核武器,《黑客帝国》中尼奥通过黑客技术摆脱虚拟世界控制。  电影中的黑客们利用高超的计算机技术拯救世界,正能量爆棚,激发了无数观众对计算机的向往;但是现实生活中却有“黑客”利用计算机技术开发蠕虫病毒,攻击大众的手机,而这名黑客的真实身份,竟然是一个高中生…  近期,安天AVL移动安全团队和小米MIUI安全中心发现一款携带勒索功能的拦截马Trick,经过样本溯源发现,该病毒竟出自国内一名高中生之手。
发布时间:2016-11-07 23:10 | 阅读:148599 | 评论:0 | 标签:病毒播报 Trick 勒索 拦截马 蠕虫 黑客

恶意软件伪装“正规军”,撕开Booster Cleaner“画皮”下的真相

  经常使用手机浏览器阅读小说的用户都知道,在浏览器页面经常会出现一些推广游戏应用、手机清理应用等应用推广型的弹窗广告。有时出于方便,我们也会选择直接点开这些弹窗广告进行应用下载。但这种行为并不安全,部分恶意应用会首先伪装成“正规军”诱导用户进行下载。一旦用户下载安装成功,该应用便大肆入侵用户手机,劫持浏览器进行仿冒应用的广告推送,甚至静默安装其它未知应用。  近期安天移动安全威胁情报分析团队就捕获了一例新的恶意应用Booster Cleaner。该恶意应用伪装得十分隐蔽,它表面看起来是一款“清理手机内存”的应用,与其他手机管理软件并无区别。
发布时间:2016-10-22 03:15 | 阅读:163709 | 评论:0 | 标签:病毒播报 AVL Insight移动威胁情报平台 booster-cleaner Root权限 劫持 私自提权

黑产上演《三体》剧情:蠕虫病毒群发“钓鱼”短信入侵手机

  我是这个世界的一个和平主义者,我首先收到信息是你们文明的幸运,警告你们:不要回答!不要回答!不要回答!!!” ———《三体》  《三体》是国内科幻小说界里程碑式的作品,多位互联网大佬都是其粉丝,去年其更是荣获科幻小说界的最高奖 “雨果奖”。小说讲述的是三体在宇宙中广播“钓鱼”电波,一旦其他文明接收到电波并回复,三体将立即定位该文明并展开后续的侵略行动。不止在小说中,现实生活中也存在很多类似的“钓鱼”短信在人们之间传播,一旦不慎点开了短信中的“钓鱼”链接,链接中附带的病毒将立即入侵手机,给人们的隐私、财产安全带来极大的威胁。
发布时间:2016-10-11 18:25 | 阅读:122578 | 评论:0 | 标签:病毒播报 Curiosity 三体 蠕虫 钓鱼短信

安天AVL联合小米MIUI首擒顽固病毒“不死鸟”

  不死鸟作为希腊神话中的一种怪物,拥有不断再生的能力,每当寿限将至时,它会在巢穴中自焚,并在三天后重新复活。就在近期,安天AVL移动安全团队和小米MIUI安全中心发现了病毒界的“不死鸟”,其顽固程度之深,用户很难通过常规的卸载手段清除该病毒。  这款病毒名为Fushicho,一旦运行,它首先会通过一系列手段攻击手机的“免疫系统”:联网下载root工具对用户手机进行提权处理,进一步根据文件中的sql语句将自身插入某知名杀毒软件白名单中,并通过“pm disable”命令禁用某知名杀毒软件,致使手机安全防护功能全线崩溃。
发布时间:2016-09-20 09:55 | 阅读:135549 | 评论:0 | 标签:病毒播报 Fushicho 不死鸟 扣费 提权

手机游戏之殇:被仿冒的不只是Pokemon Go

         最近,一款名为《Pokemon Go》(又名:《口袋妖怪GO》)的手机游戏火爆全球,但由于锁区策略,中国玩家们无法体验正式版,于是纷纷把目光投向网上各类修改版。玩家们的需求让恶意开发者看到了可乘之机,各类仿冒Pokemon Go的恶意应用趁虚而入,在鱼龙混杂的游戏应用市场,玩家们的个人隐私和财产安全正遭受着严重的威胁。       近期,安天AVL移动安全团队和猎豹移动安全实验室在研究仿冒游戏类病毒时发现,除了Pokemon Go外还有大量仿冒其他知名手机游戏的病毒存在。
发布时间:2016-07-26 19:40 | 阅读:151464 | 评论:0 | 标签:病毒播报 仿冒 游戏 病毒

高能预警:丹麦“支付宝”MobilePay被盯上了!

移动支付应用的发展不断地便捷人们的日常生活:购物不用再出门,上某宝就“购”了!朋友间转账更便捷,点点手指就搞定;吃饭还用带钱包?用移动支付工具,你的生活不再OUT!但是移动支付应用给人们带来便捷的同时也带来了极大的安全风险。
发布时间:2016-06-29 06:50 | 阅读:148469 | 评论:0 | 标签:病毒播报 安全 支付 移动 mobile

假借知名应用植入恶意模块,披着羊皮的“狼”来了!WarThunder远程控制木马预警

         近期,安天AVL移动安全和猎豹移动安全实验室共同截获一款名为WarThunder的远程控制木马程序。该病毒将恶意模块植入知名应用以诱骗用户下载并实施远程控制中毒设备的恶意操作。正如披着羊皮的“狼”, WarThunder假借知名应用的外壳正到处招摇撞骗,目前已有上万用户感染此病毒。        WarThunder一旦被不知情用户安装到手机中,会在用户解锁手机屏幕或手机电池电量、网络发生变化时,任性自启运行。
发布时间:2016-06-17 18:50 | 阅读:141168 | 评论:0 | 标签:病毒播报 WarThunder 恶意 木马 病毒 远程控制

ADS

标签云