记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华新版FinSpy政府间谍软件分析,曾涉及20个国家的iOS和Android用户
FinSpy是由德国Gamma Group公司制造的间谍软件,通过其在英国的子公司Gamma Group International向全球的政府和执法机构出售,被用于在各类平台上收集用户的私人信息。维基解密在2011年对用于桌面设备的FinSpy植入程序做了首次分析,次年分析了用于移动设备的FinSpy。从那时起,卡巴斯基开始不断检测到FinSpy在野新版本的出现。遥测数据显示,在过去的一年里,有几十种类型的移动设备都遭到过FinSpy的感染,而最近一次活动记录是在缅甸,于2019年6月发现。2018年年末,卡巴斯基研究了最新版本的FinSpy植入程序(于2018年年中时创建),主要是iOS和Android版
开发一个基于Dalvik字节码的相似性检测引擎,比较同一款Android应用程序的不同版本之间的代码差异(二)
上文我们说过,《针对Dalvik字节码的相似性检测引擎,比较同一款Android应用程序的不同版本之间的代码差异》这篇文章计划分两个部分来讲解,上文只介绍了如何利用Quarkslab公司开发的diff引擎。本文我们将介绍一个用例:URl欺骗漏洞(CVE-2019-10875) ,另外还会介绍如何将Redex与diff工具相结合,检测被混淆处理的应用程序中到底发生了哪些修改?CVE-2019-10875漏洞及缓解措施的分析CVE-2019-10875漏洞介绍mint browser(薄荷浏览器)是小米专门为安卓手机用户设计的一款轻量级浏览器应用,这款软件内存很小,设计的十分简洁,但是该有的功能一应俱全,支持语音搜索,能够
开发一个基于Dalvik字节码的相似性检测引擎,比较同一款Android应用程序的不同版本之间的代码差异(一)
Dalvik是Google公司自己设计用于Android平台的虚拟机,Dalvik虚拟机是Google等厂商合作开发的Android移动设备平台的核心组成部分之一。它可以支持已转换为 .dex(即Dalvik Executable)格式的Java应用程序的运行,.dex格式是专为Dalvik设计的一种压缩格式,适合内存和处理器速度有限的系统。Dalvik 经过优化,允许在有限的内存中同时运行多个虚拟机的实例,并且 [1] 每一个Dalvik 应用作为一个独立的Linux 进程执行。独立的进程可以防止在虚拟机崩溃的时候所有程序都被关闭。很长时间以来,Dalvik虚拟机一直被用户指责为拖慢安卓系统运行速度不如I
使用QBDI分析Android原生库
使用 QBDI 分析 Android 原生库这篇博文讨论了 QBDI,以及如何使用 QBDI 来逆向一个安卓 JNI 库。引言在过去的几个月里,我们在 QBDI 中改进了对 ARM 的支持。更准确地说,我们增强了 QBDI 的引擎,以支持 Thumb 和 Thumb2 指令以及 Neno 寄存器。开发仍在进行中,与 x86-64支持相比,我们需要清理代码并添加非回归测试。为了添加 Thumb 和 Thumb2 支持,我们对著名的模糊处理器(如 Epona, O-LLVM 或 Arxan)进行了 DBI 测试,因为我们期待拥有良好的指令覆盖率、边角用例以及良好的用例。原生代码来自嵌入在不同 APK 中的 And
Android和iOS设备的指纹识别技术漏洞曝光,该漏洞几乎不可控!
据美国科技媒体ZDNet报道,一项新的设备指纹识别技术漏洞可以使用出厂时设置的详细传感器校准信息,跟踪互联网上的Android和iOS设备,任何应用或网站都可以在没有特殊权限的情况下获取这些信息。简而言之,Android和iOS设备受到的攻击可以称之为传感器校准攻击。传感器校准攻击详解这种新技术目前暂时被称为校准指纹识别攻击或SensorID,它通过使用iOS上的陀螺仪和磁力计传感器的校准细节来实现;也可以使用Android设备上的加速度计、陀螺仪和磁力计传感器的校准细节。手机里竟然有这么多传感器,都是干嘛用的?校准指纹识别攻击又是怎么发生的?手机传感器是手机上通过芯片来感应的元器件,如温度值、亮度值和压力值等。手机中
如果连Android都不能用了,会有新的手机系统代替这位“霸主”吗?
美国为了寻求自身利益的最大化,不断采取“极限施压”的措施,在谈判中无底线、出尔反尔!为了做到精准打击,美国甚至将中国的龙头企业——华为,作为制裁实体。众所周知,手机要想顺利的运行,必须具备两个核心功能,即芯片和操作系统。对此,美国也是进行了精准打击,先是禁止向华为出售芯片,随后又让谷歌切断与中国的业务。这意味着,华为的手机将不再享有今后安卓的更新和使用权。面对这样精准的卡脖子封杀,如果是你,你怎么办?美国自以为这样会逼得华为妥协,逼得中国妥协。可是谁成想,华为对此早有计划,美国不给芯片,华为将海思转正!但当谷歌不给安卓,有些人就以为华为束手无策了?可是5月17日,华为首次对外公布了备用系统——鸿蒙系统,至此鸿蒙系统首次
解读Bento Android框架的开源细节
Bento是一个用于构建模块化Android用户界面的开源框架,由Yelp研发。在过去的一年中,研发人员已经看到了在最关键的模块化UI开发上使用Bento可以提高开发人员的工作效率和产品设计的灵活性。在这篇文章中,研发人员将详细解释Bento的工作原理,以及Yelp开源Bento Android框架,用于模块化UI开发的内幕。什么是Bento?Bento桌面的信息以卡片的形式呈现给用户,从未接来电到截图提醒,从音乐播放到日历行程。获得授权后,Bento会嵌入联系人、日历、Email、浏览搜索记录和音乐播放记录等,记住用户的一些基本信息和个人喜好,在下一次用户进行某些动作的时候,直接向云端服务器发送数据然后予以相应反馈,
新型Android间谍软件Exodus(下)
如前所述,我们的测试设备从第一阶段到第二阶段都是自动被收集数据的。例如,手机使用的WiFi网络的密码使用文件名格式DD_MM_2019_HH_mm_ss_XXXXXXXXXXXXX.txt.crypt(IMEI后面的日期时间)存储在文件夹/storage/emulated/0/.lost+found/0BBDA068-9D27-4B55-B226-299FCF2B4242/中。最后,我们观察到代理将我们的测试手机中的WiFi密码泄露给了C&C服务器:PUT /7d2a863e-5899-4069-9e8e-fd272896d4c7/A35081BD-4016-4C35-AA93-38E09AF77DB
新型Android木马Gustuff已影响上百家银行应用程序
近日,Group-IB的安全专家检测到了一种名为Gustuff的移动Android木马的攻击活动,其目标涵盖了国际知名银行的潜在客户、使用加密货币服务的用户,以及一些热门的电子商务网站。Gustuff是一种新型的Android银行木马,之前从未被报道过。它具有完全自动化的功能,能同时从用户帐户中窃取虚拟货币和非虚拟货币。对Gustuff样本的分析显示,此次攻击行动涉及到了5个主要国家在内的上百家银行,其中美国和波兰被波及的数目最多,分别为27家和16家,其余的三个国家为:澳大利亚(10),德国(9),印度(8);而受影响的银行包括:美国银行,苏格兰银行,摩根大通,富国银行,Capital One,TD银行,PNC银行等
BadBluetooth: Breaking Android Security Mechanisms via Malicious Bluetooth Peripherals
出处: NDSS 2019
作者: Fenghao Xu; Wenrui Diao; Zhou Li; Jiongyi Chen and Kehuan Zhang
单位: The Chinese University of Hong Kong
原文: https://staff.ie.cuhk.edu.hk/~khzhang/my-papers/2019-ndss-bluetooth.pdf
演示: https://sites.google.com/view/bluetoothvul
这篇论文针对Android蓝牙协议栈实现的粗粒度权限管理策略提出了一种新型的攻击方式BadBluetooth,攻击者通过将蓝牙设备伪装为键盘,网络接入点和耳机,同时配合Android发起静默配对,最终实现控制手机截
发布时间:2019-02-27 19:25 |
阅读:581332 | 评论:2 |
标签:Android
对一款窃取Android短信的恶意软件的详细分析
窃取Android短信的恶意软件本文将要分析的恶意Android应用程序,样本可以在Virusbay上找到,也可以使用这个本地镜像。黑客窃取短信可以有各种各样的原因,有的攻击者会探知某个用户的隐私信息(定位信息、上网爱好甚至健康数据),从而找到攻击或诈骗的突破口;而有的攻击者干脆直接从受害者的手机上截获双因素身份验证(2FA)令牌,以假冒用户访问许多隐私帐户。请注意,在当前上下文中给出的代码摘录的名称是可读的。如果可以直接从变量的类型或上下文派生变量的名称,则要对其进行重命名。下面是本文要使用的样本的信息:MD5: a1b5c184d447eaac1ed47bc5a0db4725SHA-1: 98b
Open Doors for Bob and Mallory: Open Port Usage in Android Apps and Security Implications
作者:Yunhan Jack Jia, Qi Alfred Chen, Yikai Lin, Chao Kong, Z. Morley Mao
单位:University of Michigan
出处:IEEE European Symposium on S&P
资料:PDF, Github
Abstract
本文中,作者对移动平台上的开放端口使用及其安全影响进行了较为系统的研究。作者设计并实现了一种静态分析工具OPAnalyzer,可以有效分析Android应用程序中易受攻击的开放端口使用情况。作者使用OPAnalyzer,对具有超过100K Android应用程序的数据集进行了漏洞分析。 在作者随后的分析中,近一半的开放端口使用是不受保护的,可以直接远程利用。从已识别的易受攻击的用法
发布时间:2019-02-18 14:25 |
阅读:587562 | 评论:0 |
标签:Android
Dazed Droids: A Longitudinal Study of Android Inter-App Vulnerabilities
作者:Ryan Johnson, Mohamed Elsabagh, Angelos Stavrou, Jeff Offutt
单位:Kryptowire, George Mason University
出处:ASIA CCS ’18
资料:论文
1 ABSTRACT & INTRODUCTION
随着Android应用复杂性的提高和功能的丰富,Android更依赖于应用之间的代码和数据共享,以缩短响应时间并提供更丰富的用户体验。
绝大部分的Android App之间和其本身发生数据通信的时候使用的都是intent对象:intent类似于消息的抽象,提供了一种便于数据交换的基本通信机制。但是有些时候开发者们有意或无意地暴露了一些App Components内部的接口,让它们可以被本地的其他
发布时间:2019-01-16 19:25 |
阅读:271216 | 评论:0 |
标签:Android
Paypal账户双因素验证又怎样?Android木马照窃不误
2018年首次检测到了一种Andorid木马,该木马混合远程控制银行木马和新型Android辅助功能的误用,针对的是PayPal应用程序用户。恶意软件伪装成电池优化工具,并通过第三方应用商店分发。
运行方式
恶意程序在启动后不提供任何功能,并将图标隐藏,之后,其功能可分为两个主要部分,描述如下:
针对PayPal的恶意访问服务
该恶意软件的首要功能是从受害者的PayPal账户上窃取钱财,因此需激活恶意访问服务。如图所示,该请求会呈现给用户的是“启用统计”服务。
如受感染设备上安装过官方PayPal应用程序,恶意软件会提示用户启动该程序。一旦用户打开并登录用户,恶意的辅助功能服务(如用户已启用) 便会模仿用户点击,将钱打入攻击者的PayPal地址,全过程只要5秒。
恶意软件并不依赖窃取PayPal登录凭证,而
Android应用逆向工具分享
在当今这个这代,智能手机已经人手一部,成为每个人生活中不可或缺的一部分,这也同时引起了极大的安全和隐私问题。保护智能手机,避免遭受各种各样的安全威胁已经成为一个主要问题。智能手机长期以来就是一个容易被攻击的目标。而且现在受感染的应用程序越来越多,我们必须要采取一些安全措施了,比如代码签名,APP隔离等。Android操作系统,之前是由Android Inc公司开发的,现在归谷歌所有,Android操作系统不仅受到了智能手机用户和开发者的青睐,而且黑客也对它情有独钟,因为Android系统依然是主要的攻击目标。在这篇文章中,我们将讨论不同的用来执行Android逆向工程的工具,并且这些工具在网上都是免费可用的。不过在开始
MOBSTSPY间谍软件在Google Play上伪装成Android应用程序
ANDROIDOS_MOBSTSPY伪装成合法的Android应用程序来收集用户的信息。这些应用程序可在2018年在Google Play上下载,其中一些已被全球用户下载超过100,000次。我们最初研究的应用之一是Flappy Birr Dog游戏,如图1所示。其他应用程序还包括FlashLight,HZPermis Pro Arabe,Win7imulator,Win7Launcher和Flappy Bird。自2018年2月以来,其中六分之五的应用程序已在Google Play上暂停使用。截至撰写时,Google已经删除了所有这些应用程序。图1. Flappy Birr Dog下载页面一、信息窃取MobSTSPY
公告
关注公众号hackdig,学习最新黑客技术