记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

Gaza Cybergang在移动端对阿拉伯语地区的攻击事件

一、背景  Gaza Cybergang又名Gaza黑客军团,是一个使用阿拉伯语且有政治动机的网络犯罪组织。其进行情报收集的主要地区位于中东和北非(MENA),特别是巴勒斯坦领土。包括卡巴斯基在内的多家安全厂商都曾对其在PC平台的鱼叉攻击行为发布过多篇报告,但是尚未有安全厂商对该组织在移动平台的犯罪活动进行披露,随着移动平台的日益重要和情报价值的进一步凸显,AVL移动安全团队注意到一起由该组织实施的移动端攻击行为,并捕获了一系列恶意代码。下面,AVL安天移动安全将以此事件为蓝本进行具体分析说明,希望能对于这期MAPT行为进行深度还原,为基于移动平台的高级持续性威胁防范提供防御借鉴思路。二、样本事件线三、样本概述  从AVL安天移动安全捕获的恶意样本编译时间看来,恶意代码主要活动于2015年11月到2017年12
发布时间:2019-07-22 23:15 | 阅读:240566 | 评论:0 | 标签:病毒播报 移动

VirtualAPP技术应用及安全分析报告

一、引言  VirtualApp(简称:VA)是一款运行于Android系统的沙盒引擎框架产品,可以理解为轻量级的“Android虚拟机”。VA具有免安装、多开、内外隔离及对于目标App完全控制的能力。VA从表现形式上属于动态加载,但是从技术本质上来说还是通过增加VAMS对启动Intent进行修改,拦截和代理Android系统消息,并且通过自定义的ClassLoader加载和构造未在VA的AndroidManifest.xml中声明的组件,以达到对目标App的控制效果。  在应用运行时通过动态加载消息代理技术,作为一项在Android系统上已经可以成熟使用的手段,除了在VA虚拟引擎框架中,目前也广泛应用在热更新、应用加壳和应用动态保护等功能中。正常使用VA虚拟引擎技术一般是为了实现轻量级版本快速迭代、功能更新、
发布时间:2019-07-08 11:15 | 阅读:244054 | 评论:0 | 标签:病毒播报

安天移动安全反病毒技术发展报告——安天移动恶意代码对抗的8年之路

一、前言  2010-2018年,八年来移动互联网产业发生着巨大的变化。而在这八年间,黑产势力也乘着移动互联网高速发展的东风,持续扩大产业和恶意攻击规模。Android作为拥有最大市场的移动智能设备平台,其移动恶意代码无疑是近年来最主流的移动安全威胁之一。  本文通过移动恶意代码对抗视角,回顾移动恶意代码技术发展路径,并介绍安天移动安全自2010年成立至今所始终坚持的移动恶意代码对抗的八年之路以及对未来移动恶意代码对抗趋势的理解,分享八年来安天移动安全对移动恶意代码对抗的所见、所思与所为。此外,我们还将在2019年3月发布2018年移动安全威胁年报,分享更深度的移动安全威胁和技术透视。  需要说明的是,本文中围绕的移动恶意代码对抗主要基于Android平台。一方面是因为Android平台是多年来移动恶意代码对抗
发布时间:2019-02-01 11:10 | 阅读:408898 | 评论:0 | 标签:病毒播报 移动

gpSystem:一种可私自注册google账号的病毒

  近期安天移动安全和猎豹移动联合捕获到病毒gpSystem,该病毒植入在应用程序private,程序运行后便隐藏图标,进行下载提权相关文件、联网获取数据模拟点击注册google账号、上传用户账号、固件等信息等一系列恶意行为,造成用户资费损耗和隐私泄露风险。目前安天移动安全联合猎豹移动已实现对该病毒的检测查杀,建议用户安装猎豹安全大师等集成安天移动安全反病毒引擎的安全产品,定期进行病毒检测,一旦被感染需及时卸载恶意应用。以下是针对该病毒的详细分析。一、样本基本信息  该恶意应用被下载安装后将隐藏图标,下载提权相关文件、私自提权,解密静默安装恶意程序到系统目录,修改多个系统api调用的返回值,联网获取数据模拟点击注册google账号,还会私自下载恶意子包,上传用户账号、固件等信息。二、恶意行为流程图三、动态分析 
发布时间:2018-07-17 23:10 | 阅读:77599 | 评论:0 | 标签:病毒播报

微信支付SDK XXE高危漏洞预警与应急响应

一、概述  近日,国外安全社区 Seclists.Org 披露了微信支付官方 SDK 存在严重的 XXE 漏洞,可导致商家服务器被入侵,且黑客可避开真实支付通道,用虚假的支付通知来购买任意产品 。目前,漏洞详细信息以及攻击方式已被公开,影响范围巨大(已确认陌陌、vivo因使用该SDK而存在该漏洞)。该漏洞利用成本低,极易被攻击者利用攻击。  漏洞披露后,安天移动安全针对该漏洞进行分析并结合支付行业特点,界定漏洞危害以及对支付行业影响。安天移动安全第一时间针对支付行业发布微信支付SDK XXE高危漏洞预警,并启动了安全应急响应,提出了针对支付行业支付后台系统应对措施的建议。二、漏洞预警说明  XXE漏洞简述  XML 外部实体注入漏洞(XML External Entity Injection,简称 XXE),是
发布时间:2018-07-05 23:10 | 阅读:113986 | 评论:0 | 标签:病毒播报 漏洞

testService间谍病毒的“七年之痒”

一、概述  近期安天移动安全和猎豹移动联合捕获到间谍家族Trojan/Android.testServiceSpy的一些新的病毒样本,截至目前,捕获到的样本9成以上都是名为”testService”的测试样本,故称之为testService间谍病毒。从时间节点上来看,近年我们也有陆续捕获到该家族的一些其他样本,如Angel、Angel001、testzhixing、True、helloworld等。在最新发现的样本中,有3个具有钓鱼性质的应用,我们对其进行了详细分析,以期还原这个家族样本的技术细节。一、恶意行为分析2.1 恶意应用  在我们捕获到的大量的样本中,大多数是类似测试的Demo样本,但是其中包含3个明显具有钓鱼性质的应用,具体为Notepad、ScrollBook(禁书
发布时间:2018-07-02 23:10 | 阅读:87545 | 评论:0 | 标签:恶意代码技术 病毒播报 间谍病毒 间谍病毒,移动安全

ZipperDown漏洞,炒作还是一触即发?

一、概述  近期,ZipperDown漏洞被披露,该漏洞影响Android和iOS两大平台,其中iOS应用市场多达10%的应用存在该漏洞,且不乏多款热门应用,引发业界强烈反响。安天移动安全第一时间启动对该漏洞的应急响应,希望客观公正地反映其对支付行业的影响。调查研究发现,该漏洞是由于开发人员未对压缩包中的解压路径进行校验,导致攻击者可通过构建恶意压缩包进行路径穿越攻击,且行业中有超过3成的应用存在该漏洞。然而该漏洞的真实影响还需具体结合应用业务进行排查,不应过分夸大,更不应忽视,安天移动安全将免费提供技术支持携手相关各方联手进行安全排查,将风险降至最低。二、漏洞预警说明  Zip压缩包路径穿越简述  Zip压缩包是一中常见的压缩文件格式,Zip压缩包支持打包文件中的文件名包含上级路径。如下图所示,压缩包upda
发布时间:2018-05-23 11:10 | 阅读:100115 | 评论:0 | 标签:病毒播报 漏洞

不仅仅是利比亚天蝎

前言  2016年9月,安全厂商Cyberkov发布了名为利比亚天蝎的安全报告[1],报告中指出,一批恶意软件通过社交程序Telegram广泛传播,主要针对有影响力的社会名流和政治人士。当时,安天移动安全和猎豹移动进行了持续跟进,并发现该恶意软件进行了持续的更新和改进,攻击的目标国家也从利比亚转移到了其他国家和地区。该系列恶意软件根据不同的攻击目标进行精心的伪装,充分了解攻击目标的风俗文化和手机使用习惯,诱导目标群体安装,获取大量的隐私信息,具有很高的组织性和隐蔽性,以下我们将对该攻击进行详细的说明,以期能够对事件尽可能的勾勒。1.简要分析  安天移动安全与猎豹移动联合发现的这批恶意软件,皆为商业RAT软件,主要分类有JSocket RAT ,Droidjack RAT ,Alienspy RAT,该组
发布时间:2018-05-17 23:10 | 阅读:177301 | 评论:0 | 标签:病毒播报

安天移动安全发布恶意广告软件RottenSys深度分析报告

一、事件背景  2018年3月14日,国外安全厂商Checkpoint发布报告,声称自2016年来近500万手机设备感染了名为RottenSys的恶意代码,并且指出包括华为、OPPO、vivo、魅族、金立等在内的国产手机设备被感染。随后国内科技媒体进行也了广泛的翻译和转载。鉴于此,安天移动安全进行了深入的分析。二、样本基本信息  典型样本信息如下:   恶意行为描述:  该程序包含风险代码,可在后台私自下载恶意插件并静默安装,进行远程控制命令以及对用户手机进行root,从而频繁推送广告并进行应用分发。消耗用户流量资费,影响用户体验。三、详细分析  安天移动安全分析得出,该恶意软件家族进行了明显的技术升级,进行了较强的技术对抗。攻击手段主要分两个阶段:第一阶段只是单纯的私自下载恶意广告插件,推送广告;第二阶段植入
发布时间:2018-03-19 23:10 | 阅读:161401 | 评论:0 | 标签:病毒播报 恶意广告软件 移动

移动端C#病毒“东山再起”,利用知名应用通信实现远控隐私窃取

  伴随着手机的全面普及和移动互联网的发展,以移动终端为平台的攻防对抗也愈演愈烈。针对日益升级的恶意代码检测技术,恶意攻击者的反查杀手段相应也在不断变化应对。早在2015年,安天移动安全就发现一例利用C#编写以逃避查杀的恶意代码,并对其进行了技术分析。  近日,安天移动安全联合猎豹移动安全实验室又捕获一例类似的病毒,该病毒使用MonoDroid框架进行开发(MoniDroid是以C#语言和部分.Net基类库为核心,使用mono虚拟机为Android平台开发应用的代码框架),MonoDroid框架开发的特点是开发者编写的逻辑代码都会最终编译在dll文件中,而不是常规的dex文件中,因而常规的反病毒检测手段对这类应用一般都会失效。此外,该病毒使用了知名应用Telegram的Bot进行通信,相较于传统的C&C
发布时间:2017-12-28 00:20 | 阅读:175823 | 评论:0 | 标签:病毒播报 移动

安天移动安全:Janus高危漏洞深度分析

一、背景介绍  近日,Android平台被爆出“核弹级”漏洞Janus(CVE-2017-13156),该漏洞允许攻击者任意修改Android应用中的代码,而不会影响其签名。 众所周知,Android具有签名机制。正常情况下,开发者发布了一个应用,该应用一定需要开发者使用他的私钥对其进行签名。恶意攻击者如果尝试修改了这个应用中的任何一个文件(包括代码和资源等),那么他就必须对APK进行重新签名,否则修改过的应用是无法安装到任何Android设备上的。但如果恶意攻击者用另一把私钥对APK签了名,并将这个修改过的APK对用户手机里的已有应用升级时,就会出现签名不一致的情况。因此,在正常情况下,Android的签名机制起到了防篡改的作用。  但如果恶意攻击者利用Janus漏洞,那么恶意攻击者就可以任意地修改一个APK
发布时间:2017-12-23 01:05 | 阅读:202655 | 评论:0 | 标签:病毒播报 漏洞 移动

安天移动安全发布“大脏牛”漏洞分析报告(CVE-2017-1000405)

一、背景简介  脏牛漏洞(CVE-2016–5195)是公开后影响范围最广和最深的漏洞之一,这十年来的每一个Linux版本,包括Android、桌面版和服务器版都受到其影响。恶意攻击者通过该漏洞可以轻易地绕过常用的漏洞防御方法,对几百万的用户进行攻击。尽管已针对该漏洞进行了补丁修复,但国外安全公司Bindecy对该补丁和内容做出深入研究后发现,脏牛漏洞的修复补丁仍存在缺陷,由此产生了“大脏牛”漏洞。基于多年以来针对移动端漏洞的技术积累和安全对抗,安天移动安全对“大脏牛”漏洞进行了详细的技术分析,并提供了验证方案,全文如下。二、漏洞原理分析2.1 脏牛漏洞回顾  在分析大脏牛漏洞前,我们需要对原始的脏牛漏洞利用方式进行完整的分析理解: 之前的漏洞是在get_user_pages函数中,这个函数能够获取用户
发布时间:2017-12-18 22:40 | 阅读:174020 | 评论:0 | 标签:病毒播报 漏洞 移动

窃私病毒染指社交软件,安天移动安全与猎豹联合披露

  随着移动互联网的发展和智能手机的普及,社交网络焕发出新的活力,移动社交受到人们的欢迎,移动社交APP也成为最流行的手机应用程序之一。与此同时,社交软件作为个人隐私信息的重要载体,也被恶意攻击者所觊觎。  近期,安天移动安全与猎豹移动就联合捕获到一例窃取社交软件信息等个人隐私的恶意样本,通过详细的深入分析后发现,该恶意样本通过伪装成正常应用潜入用户手机,一旦运行就会接受远程控制命令展开一系列的恶意行为:监听用户通话、拦截并窃取用户短信、联系人、历史通话记录、浏览器历史记录、地理位置等隐私信息,并通过短信和http等方式回传隐私信息。此外,该病毒会通过私自拍照、录音录像、拨打电话、发送短信等方式对用户设备实施窃听。除了这些典型的窃私行为,该病毒还会通过私自提权进一步窃取用户社交软件上的信息,造成用户个人隐私的彻
发布时间:2017-10-24 10:00 | 阅读:103064 | 评论:0 | 标签:恶意代码技术 病毒播报 窃私病毒 移动

安天移动安全联合猎豹移动首次揭露“Operation Manul”疑似在Android端的间谍软件行为

前言  去年8月份,美国黑帽大会曾公开发表了一篇报告,揭露了名为“Operation Manul”的组织针对该国相关人士进行的大面积网络攻击和窃听行为,并分析了其在PC端使用的窃听技术及域名。  通过对报告中披露的多个用做指令控制和文件上传的C2 Server域名进行内部检索对比,安天移动安全联合猎豹移动发现了一批相关恶意样本,分析发现该间谍软件通过伪装成海外知名应用潜入目标用户手机,在获取权限后会展开一系列窃听行为:私自拍照、录音,并窃取用户短信、通讯录、地理位置等隐私信息,而后将相关数据上传至远程服务器。  这是自报告公开以来首次发现“Operation Manul”组织疑似在Android平台存在攻击行为,以下是对我们捕获的安卓端间谍软件的详细分析。一、简要分析  安天移动安全与猎豹移动联合发现的这批间谍
发布时间:2017-08-12 18:30 | 阅读:153212 | 评论:0 | 标签:病毒播报 行业观点 间谍病毒,移动安全, Android 移动

2017上半年移动安全报告 | 猎豹移动与安天移动安全联合发布

关于安天移动安全  安天移动安全公司成立于2010年,是安天实验室旗下专注于移动互联网安全技术与安全产品研发的企业,旨在为全球移动终端用户和厂商提供专业的安全防护能力和解决方案。  安天移动安全公司核心产品体系为AVL Inside移动反病毒引擎和AVL Insight移动威胁情报平台。AVL Inside曾以年度最高平均检出率荣获国际权威测评机构AV-TEST颁发的“移动设备最佳防护”奖项,实现中国安全厂商在全球顶级安全测评领域重量级奖项零的突破。AVL Insight是国内首个移动威胁情报大数据平台,主要用于呈现移动威胁的高价值情报信息,通过对移动威胁的全面感知能力和快速分析响应能力,提供对抗移动威胁的预警和处置策略。  安天移动安全公司与国家互联网应急中心和泰尔终端实验室进行合作,为国家监管部门提供技术支
发布时间:2017-08-09 22:45 | 阅读:112201 | 评论:0 | 标签:病毒播报 行业观点 移动安全,安卓病毒,恶意URL 移动

安天移动安全联合猎豹揭秘无形之贼Dosoft免杀病毒

  网络安全的核心本质是攻防对抗。当安全工作者使用手上的安全武器保卫网络安全时,恶意攻击者也在想方设法予以对抗、夹缝求生。“免杀病毒”便是正邪对抗的产物。免杀是一种避免被杀毒软件查杀的技术,利用这种技术,免杀病毒可以在杀毒软件面前肆无忌惮地实施恶意行为而不被发现。  近期,安天移动安全团队和猎豹安全实验室捕获了一例企图绕过杀毒软件实现免杀的病毒——Dosoft,该病毒通过捆绑在正常应用中潜入用户手机,待应用运行后则启动服务立即执行恶意代码模块,通过修改杀软数据库的手段躲避查杀,并利用系统漏洞root手机而获取root权限,从而在后台私自静默推广并安装其他App,消耗用户流量资费,可谓是“无形之贼”。 Dosoft病毒界面 静默安装其他App示例一、恶意行为流程图二、恶意行为详细分析Step1.上传设备信息,
发布时间:2017-07-24 21:50 | 阅读:118264 | 评论:0 | 标签:病毒播报 移动

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云