记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华新型Android间谍软件Exodus(下)
如前所述,我们的测试设备从第一阶段到第二阶段都是自动被收集数据的。例如,手机使用的WiFi网络的密码使用文件名格式DD_MM_2019_HH_mm_ss_XXXXXXXXXXXXX.txt.crypt(IMEI后面的日期时间)存储在文件夹/storage/emulated/0/.lost+found/0BBDA068-9D27-4B55-B226-299FCF2B4242/中。最后,我们观察到代理将我们的测试手机中的WiFi密码泄露给了C&C服务器:PUT /7d2a863e-5899-4069-9e8e-fd272896d4c7/A35081BD-4016-4C35-AA93-38E09AF77DB
新型Android木马Gustuff已影响上百家银行应用程序
近日,Group-IB的安全专家检测到了一种名为Gustuff的移动Android木马的攻击活动,其目标涵盖了国际知名银行的潜在客户、使用加密货币服务的用户,以及一些热门的电子商务网站。Gustuff是一种新型的Android银行木马,之前从未被报道过。它具有完全自动化的功能,能同时从用户帐户中窃取虚拟货币和非虚拟货币。对Gustuff样本的分析显示,此次攻击行动涉及到了5个主要国家在内的上百家银行,其中美国和波兰被波及的数目最多,分别为27家和16家,其余的三个国家为:澳大利亚(10),德国(9),印度(8);而受影响的银行包括:美国银行,苏格兰银行,摩根大通,富国银行,Capital One,TD银行,PNC银行等
BadBluetooth: Breaking Android Security Mechanisms via Malicious Bluetooth Peripherals
出处: NDSS 2019
作者: Fenghao Xu; Wenrui Diao; Zhou Li; Jiongyi Chen and Kehuan Zhang
单位: The Chinese University of Hong Kong
原文: https://staff.ie.cuhk.edu.hk/~khzhang/my-papers/2019-ndss-bluetooth.pdf
演示: https://sites.google.com/view/bluetoothvul
这篇论文针对Android蓝牙协议栈实现的粗粒度权限管理策略提出了一种新型的攻击方式BadBluetooth,攻击者通过将蓝牙设备伪装为键盘,网络接入点和耳机,同时配合Android发起静默配对,最终实现控制手机截
发布时间:2019-02-27 19:25 |
阅读:555280 | 评论:2 |
标签:Android
对一款窃取Android短信的恶意软件的详细分析
窃取Android短信的恶意软件本文将要分析的恶意Android应用程序,样本可以在Virusbay上找到,也可以使用这个本地镜像。黑客窃取短信可以有各种各样的原因,有的攻击者会探知某个用户的隐私信息(定位信息、上网爱好甚至健康数据),从而找到攻击或诈骗的突破口;而有的攻击者干脆直接从受害者的手机上截获双因素身份验证(2FA)令牌,以假冒用户访问许多隐私帐户。请注意,在当前上下文中给出的代码摘录的名称是可读的。如果可以直接从变量的类型或上下文派生变量的名称,则要对其进行重命名。下面是本文要使用的样本的信息:MD5: a1b5c184d447eaac1ed47bc5a0db4725SHA-1: 98b
Open Doors for Bob and Mallory: Open Port Usage in Android Apps and Security Implications
作者:Yunhan Jack Jia, Qi Alfred Chen, Yikai Lin, Chao Kong, Z. Morley Mao
单位:University of Michigan
出处:IEEE European Symposium on S&P
资料:PDF, Github
Abstract
本文中,作者对移动平台上的开放端口使用及其安全影响进行了较为系统的研究。作者设计并实现了一种静态分析工具OPAnalyzer,可以有效分析Android应用程序中易受攻击的开放端口使用情况。作者使用OPAnalyzer,对具有超过100K Android应用程序的数据集进行了漏洞分析。 在作者随后的分析中,近一半的开放端口使用是不受保护的,可以直接远程利用。从已识别的易受攻击的用法
发布时间:2019-02-18 14:25 |
阅读:568414 | 评论:0 |
标签:Android
Dazed Droids: A Longitudinal Study of Android Inter-App Vulnerabilities
作者:Ryan Johnson, Mohamed Elsabagh, Angelos Stavrou, Jeff Offutt
单位:Kryptowire, George Mason University
出处:ASIA CCS ’18
资料:论文
1 ABSTRACT & INTRODUCTION
随着Android应用复杂性的提高和功能的丰富,Android更依赖于应用之间的代码和数据共享,以缩短响应时间并提供更丰富的用户体验。
绝大部分的Android App之间和其本身发生数据通信的时候使用的都是intent对象:intent类似于消息的抽象,提供了一种便于数据交换的基本通信机制。但是有些时候开发者们有意或无意地暴露了一些App Components内部的接口,让它们可以被本地的其他
发布时间:2019-01-16 19:25 |
阅读:252544 | 评论:0 |
标签:Android
Paypal账户双因素验证又怎样?Android木马照窃不误
2018年首次检测到了一种Andorid木马,该木马混合远程控制银行木马和新型Android辅助功能的误用,针对的是PayPal应用程序用户。恶意软件伪装成电池优化工具,并通过第三方应用商店分发。
运行方式
恶意程序在启动后不提供任何功能,并将图标隐藏,之后,其功能可分为两个主要部分,描述如下:
针对PayPal的恶意访问服务
该恶意软件的首要功能是从受害者的PayPal账户上窃取钱财,因此需激活恶意访问服务。如图所示,该请求会呈现给用户的是“启用统计”服务。
如受感染设备上安装过官方PayPal应用程序,恶意软件会提示用户启动该程序。一旦用户打开并登录用户,恶意的辅助功能服务(如用户已启用) 便会模仿用户点击,将钱打入攻击者的PayPal地址,全过程只要5秒。
恶意软件并不依赖窃取PayPal登录凭证,而
Android应用逆向工具分享
在当今这个这代,智能手机已经人手一部,成为每个人生活中不可或缺的一部分,这也同时引起了极大的安全和隐私问题。保护智能手机,避免遭受各种各样的安全威胁已经成为一个主要问题。智能手机长期以来就是一个容易被攻击的目标。而且现在受感染的应用程序越来越多,我们必须要采取一些安全措施了,比如代码签名,APP隔离等。Android操作系统,之前是由Android Inc公司开发的,现在归谷歌所有,Android操作系统不仅受到了智能手机用户和开发者的青睐,而且黑客也对它情有独钟,因为Android系统依然是主要的攻击目标。在这篇文章中,我们将讨论不同的用来执行Android逆向工程的工具,并且这些工具在网上都是免费可用的。不过在开始
MOBSTSPY间谍软件在Google Play上伪装成Android应用程序
ANDROIDOS_MOBSTSPY伪装成合法的Android应用程序来收集用户的信息。这些应用程序可在2018年在Google Play上下载,其中一些已被全球用户下载超过100,000次。我们最初研究的应用之一是Flappy Birr Dog游戏,如图1所示。其他应用程序还包括FlashLight,HZPermis Pro Arabe,Win7imulator,Win7Launcher和Flappy Bird。自2018年2月以来,其中六分之五的应用程序已在Google Play上暂停使用。截至撰写时,Google已经删除了所有这些应用程序。图1. Flappy Birr Dog下载页面一、信息窃取MobSTSPY
针对动态逆向工程攻击的Android应用保护方案(下)
对root权限进行检测本节会介绍对root权限进行检测的技术思路,这些思路我们都在上文中介绍过。就是基于这些方法,研究人员制作了一个具有root权限属性的检测表,并设计了几个函数(如上所示)来检测它们。在检测表中,研究人员将上文所讲过的第二种检测方法(检测已安装文件)细化为两项检测:检测su二进制文件和检测来自busybox的命令。研究人员并没有将上文所讲过的第七中检测方法(使用shell命令检测root权限)包含在检测表中,因为该方法可以很容易被其他方法替代。研究人员使用的是开源软件实现的这些检测功能,检测表和函数的具体运行过程如下所示:· detectTestKeys()会检测自定义镜像闪烁,它会reads /sy
针对动态逆向工程攻击的Android应用保护方案(上)
前言之所以Android应用程序的逆向工程很简单,是因为它是用高级但简单的字节码语言编写的。字节码(Byte-code)是一种包含执行程序,由一序列op代码或数据对组成的二进制文件,是一种中间码。由于恶意逆向工程攻击,许多Android应用被篡改和重新包装成恶意应用。为了保护Android应用程序不受逆向工程的影响,研究人员已经研究出了诸如混淆、打包(打包可执行文件)、加密和反调试等反逆向工程技术。不过混淆、打包和加密是针对静态逆向工程的防御技术,并不能防止内存转储和运行时调试(runtime debugging)等动态逆向工程。而现有的针对动态逆向工程的防御技术,通常只会通过确定应用程序是否在基于仿真的分析环境中执行
PatternListener_ Cracking Android Pattern Lock Using Acoustic Signals
作者:ManZhou1,QianWang1,JingxiaoYang1,QiLi2,FengXiao1,ZhiboWang1,XiaofengChen3
单位:School of Cyber Scienceand Engineering, Wuhan University, Graduate School at Shenzhen & Department of Computer Science,Tsinghua University, School of Cyber Engineering, Xidian University
出处:CCS’18
论文:https://arxiv.org/pdf/1810.02242.pdf
ABSTRACT
手势密码的应用十分广泛,包括解锁手机或是应用
发布时间:2018-12-28 19:25 |
阅读:94608 | 评论:0 |
标签:Android
EviHunter: Identifying Digital Evidence in the Permanent Storage of Android Devices via Static Analysis
作者:Chris Chao-Chun Cheng, Chen Shi, Neil Zhenqiang Gong, Yong Guan
单位:Iowa State University, NIST Center of Excellence in Forensic Science – CSAFE
出处:CCS’18
资料:Paper, Slides, GitHub
ABSTRACT & INTRODUCTION
由于移动网络的发展,智能手机上的数字证据在犯罪调查中发挥着越来越重要的作用。数字证据可以存在于智能手机的内存和文件系统中。虽然内存取证方面有很大的进展,但在针对文件系统的取证仍然比较困难。大多数关于文件系统取证的现有研究依赖于手动分析或基于关键字的静态扫描。手
发布时间:2018-12-21 14:25 |
阅读:70767 | 评论:0 |
标签:Android
使用马尔科夫链进行Android恶意软件检测
如果你和某人聊天,如果他们给你说了一堆“aslkjeklvm,e,zk3l1”你完全听不懂的词语,显然他们是在胡言乱语。但是,在计算机中,你该如何教电脑识别类似的乱码呢?然而更重要的是,我们为什么要为这个问题烦恼?我见过很多安卓恶意软件,其中有很多包含我们不认识的乱码字符串,无论是代码中的文字,还是签名中的类名,等等。我的想法是,如果你可以对乱码进行“量化”,那这些乱码将会是机器学习模型中的一个很好的特征。我已经测试了我的想法,所以在这篇文章中,我将分享我的成果。什么是马尔可夫链?你可以阅读维基百科上的解释,但不是每个人都有时间阅读完这种篇幅很长的解释。简单的说,你用了很多字符串来训练一个马尔科夫链模型。一旦训练好,你
使用FRIDA为Android应用进行脱壳的操作指南
FortiGuard实验室最近遇到了很多加壳Android恶意软件。这类恶意软件一个很有趣的点是,尽管使用的加壳工具是一样的,但生成的恶意软件却常常会发生变化。正因为如此,我们想分享我们在处理分析这类恶意软件时出现的一些问题。
Android系统中通过RSSI广播泄漏敏感数据的漏洞详情披露(CVE-2018-9581)
前言本文所分析的CVE-2018-9581漏洞,和前段时间所分析的CVE-2018-9489和CVE-2018-15835属于同一漏洞系列,这三个漏洞具有相同的发生机理。CVE-2018-9581允许进程间通信,导致信息泄漏。虽然Android系统上的应用程序通常由操作系统彼此隔离,同时各应用与操作系统本身隔离,但在需要时在它们之间仍然存在共享信息的机制,如intent,Android使用两种不同的intent定期广播有关WiFi连接的信息。而CVE-2018-9489能将有关用户设备的信息暴露给设备上运行的所有应用程序,包括WiFi网络名称、BSSID、本机IP地址、DNS服务器信息和MAC地址。它使恶意应用程序得以
公告
关注公众号hackdig,学习最新黑客技术