“流量狂魔”--病毒分析报告

一. 简介 近日,百度安全实验室发现了一款新型顽固流量消耗木马。该木马通过重打包方式内嵌在第三方流行应用中,“流量狂魔”木马运行后第一时间动态加载附带的恶意子包,该恶意子包通过自动化模拟点击广告获取利益,这会消耗大量用户流量。“流量狂魔”木马还会定期请求远端服务器获取最新恶意子包,通过我们监控到的数据发现,目前最新版本恶意子包增加了利用设备漏洞获取root权限的功能,获取Root权限后,恶意子包会...
阅读(6174) 评论(1)

“刷榜客”-- 手机木马Google Play恶意刷榜

目前,随着应用市场内应用数量爆炸式的增长,App营销和推广的难度也越来越大,刷榜被普遍认为是一种应用推广的最佳捷径,它能够在短期内大幅提高下载量和用户量,进而提高应用的曝光率。曝光率的提升,带来下载量的激增,而激增的下载量又会保证排名靠前,以此呈现出滚雪球式的增长。国内App刷榜市场正逐步发展壮大,并衍生为一条完整的灰色产业链:应用开发者、刷榜服务商已经形成了一个紧密的结构。...
阅读(7955) 评论(5)

“暗隐间谍”--利用NDK NativeActivity技术实现Android加固

近日,百度安全实验室发现了一款被不同病毒家族利用的新型代码加固方式,该种代码加固方式巧妙的利用了Android系统提供的NativeActivity特性完成恶意代码的解固。目前主流的加固方案代码逻辑分为java层和native层两部分。而该种加固方式实现了代码的全部native化,java层未包含任何代码逻辑....
阅读(8892) 评论(5)

“关机窃听”-- 病毒分析报告

在今年10月份首届GeekPwn大赛上,来自KeenTeam的高手现场演示了Android手机在关机状态下被黑客通过听筒进行窃听的全过程。近日,百度安全实验室发现一款“关机窃听”病毒。该病毒通过Hook系统shutdown方法实现关机拦截,当用户关机时弹出自定义黑色界面,使手机处于“假关机”状态;后台窃取用户短信、联系人、通话记录、位置信息、通话录音,上传到服务器...
阅读(8002) 评论(6)

"CoolReaper" --酷派手机后门

注:译文未获得平底锅授权,纯属学习性质翻译原文:https://www.paloaltonetworks.com/content/dam/paloaltonetworks-com/en_US/assets/pdf/reports/Unit_42/unit42-cool-reaper.pdf综述宇龙酷派是中国第三大以及全球第六大智能手机生产厂商。最近我们研究发现许多高端酷派手机在预装软件均包含一个后...
阅读(7596) 评论(4)

Android Accessibility(辅助功能) --实现Android应用自动安装、卸载

随着Android版本的不断升级,Android Accessibility功能也越来越强大,Android 4.0版本以前,系统辅助服务功能比较单一,仅仅能过单向获取窗口元素信息,比如获取输入框用户输入内容。到Android 4.1版本以后,系统辅助服务增加了与窗口元素的双向交互,此时可以通过辅助功能服务操作窗口元素,比如点击按钮等。 由于系统辅助服务能够实时获取您当前操作应用的窗口元素信息,这有可能给你带来隐私信息的泄露风险,比如获取非密码输入框的输入内容等。同时通过辅助功能也可以模拟用户自动化...
阅读(12270) 评论(5)

“黑暗潜伏者” -- 手机病毒新型攻击方式

近期百度安全实验室发现一款“黑暗潜伏者”新型手机病毒。该病毒附着在众多壁纸和游戏类应用中。截至目前,已经发现感染该病毒的应用超过1万多款,感染用户超过3000万。 该病毒恶意行为如下:1、 后台利用系统漏洞获取临时Root权限。2、 获取临时Root权限后,安装SysPhones.apk恶意程序为系统软件,安装Root后门程序zy到/system/bin目录。3、 SysPhones.apk根据服...
阅读(8912) 评论(11)

broadAnywhere:Broadcast组件权限绕过漏洞(Bug: 17356824)

原创内容,转载请注明来源 http://retme.net/index.php/2014/11/14/broadAnywhere-bug-17356824.htmlLolipop源码已经放出有些日子了,我发现google在5.0上修复了一个高危漏洞,利用该漏洞可以发送任意广播:不仅可以发送系统保护级别的广播、还可以无视receiver的android:exported=false、android:...
阅读(4706) 评论(1)

Android设备管理器漏洞2--阻止用户取消激活设备管理器

日前,百度安全实验室发现手机木马开始利用另一新的Android设备管理器漏洞,新的设备管理器漏洞是由于Android系统在取消激活设备管理器流程的设计缺陷引起的,恶意软件利用该设计缺陷,可以阻止用户取消激活设备管理器,进而达到反卸载的目的。该漏洞存在于Android系统所有版本。...
阅读(8771) 评论(4)

“易融窃贼”--网贷平台隐私窃取

近日,百度安全实验室监控到一款具有特定商业目的“易融窃贼”新型隐私窃取类病毒,借款人在网络借贷平台申请贷款过程中,信贷顾问会要求借款人下载一款名为“P2”的手机客户端软件,并通过该软件提交个人资料,以便进行综合性评估。然而经过分析后我们发现,该款软件的功能远非表面上看起来那么简单合理。...
阅读(5775) 评论(5)

Android FakeID任意代码注入执行漏洞简析

博文作者:金刚项目团队发布日期:2014-09-01阅读次数:100博文内容:u  漏洞背景 国外安全机构BlueBox在2014年7月30日公布了一个关于APK签名的漏洞——FakeID,攻击者可利用该漏洞实现代码注入,执行恶意操作。u  漏洞危害1)受影响系统版本:部分Android 4.4及所有4.4以下版本;2)典型攻击场景:使用了Android webview组件的应用可被恶意监控或隐私...
阅读(4855) 评论(0)

launchAnyWhere: Activity组件权限绕过漏洞解析(Google Bug 7699048 )

作者:申迪      转载请注明出处    http://blogs.360.cn/360mobile/2014/08/19/launchanywhere-google-bug-7699048/前几天在试用gitx这个软件时偶然看到Google修复了一个漏洞,并记为Google Bug 7699048。这是一个AccountManagerService的漏洞,利用这个漏洞,我们可以任意调起任意未导...
阅读(4826) 评论(0)

Android动态逆向分析工具ZjDroid--脱壳神器

ZjDroid是基于Xposed Framewrok的动态逆向分析模块,逆向分析者可以通过ZjDroid完成以下工作: 1、DEX文件的内存dump 2、基于Dalvik关键指针的内存BackSmali,有效破解各种流行加固方案 3、敏感API的动态监控 4、指定内存区域数据dump 5、获取应用加载DEX信息。 6、获取指定DEX文件加载类信息。 7、dump Dalvik java堆信息。 8、在目标进程动态运行lua脚本。...
阅读(19727) 评论(22)

近20家银行手机银行签名被非法滥用风险分析

近日百度安全实验室在手机银行正版信息提取时,发现有一个数字证书签名(签名信息如图1)被很多银行的手机客户端所使用。与此同时还发现了几款个人开发者类应用也使用了此证书签名。而这种数字签名被滥用的行为存在极大的安全隐患。 图1. 签名信息 经挖掘和分析,研究人员发现目前共有23款不同银行手机银行客户端使用该签名:以上不同银行的手机客户端应用都是外包给某第三方公司开发的。 在应用市场内,目前共发现6款个...
阅读(5290) 评论(1)

Android电话拨打权限绕过漏洞(CVE-2013-6272)分析

1. CVE-2013-6272漏洞背景CVE-2013-6272是一个安卓平台电话拨打权限绕过漏洞。该漏洞实际上是柏林的安全研究机构curesec在2013年底发现并秘密报告给google的,而并非是某国内团队发现的。Curesec同时也是安卓锁屏绕过漏洞(CVE-2013-6271)的发现者。Curesec于2014年7月4日公开了一个拨打电话相关的漏洞[1],我们对这个漏洞进行了分析。这个漏...
阅读(6032) 评论(0)

"伪中国移动客户端"--伪基站诈骗

一、简介: 近日,百度安全实验室发现一款“伪中国移动客户端”病毒,犯罪分子通过伪基站方式大量发送伪10086的短信,诱导用户点击钓鱼链接;并在钓鱼页面诱导用户输入网银账号、网银密码、下载安装“伪中国移动客户端”病毒;该病毒会在后台监控用户短信内容,获取网银验证码。 黑客通过以上方式获取网银账号、网银密码和网银短信验证码后,完成窃取网银资金。 伪基站发送的伪10086短信 图1. 伪10086短信 ...
阅读(7111) 评论(0)

“聊天剽窃手”--ptrace进程注入型病毒

近日,百度安全实验室发现了一款“聊天剽窃手”病毒,该病毒能够通过ptrace方式注入恶意代码至QQ、微信程序进程,恶意代码能够实时监控手机QQ、微信的聊天内容及联系人信息。该病毒是目前发现的首款通过ptrace进程注入方式进行恶意窃取私密资料的病毒。   简介 该病毒主要是通过ptrace注入QQ和微信进程进行信息窃取的,主程序调用assets中的inject_appso,libcall.so以及...
阅读(10835) 评论(9)

微信支付大盗--黑色产业链

随着移动互联网的迅速兴起,手机移动支付呈现井喷式发展。然而移动支付在便利人们生活的同时,也面临着越来越多的风险。据百度安全实验室监控数据显示,众多官方的手机网银客户端和支付工具都被黑客克隆成山寨版本,这些山寨移动支付应用总量超过500款。山寨手机支付应用已成为移动支付最大安全风险之一,严重威胁着用户资金财产安全。日前,实验室又截获了一款名为“微信支付大盗”的手机支付木马,该木马高度模仿真正的“微信...
阅读(9707) 评论(5)

Android设备HeartBleed漏洞影响分析

一、HeartBleed漏洞的描述 近日,OpenSSL报出严重的安全漏洞,被称之为“心脏出血”漏洞。通常情况下,SSL/TLS加密用于互联网通信中,如Web,电子邮件,即时消息(IM)和一些虚拟专用网络(VPN)的通信安全和隐私保护。OpenSSL在实现SSL/TLS的加密(心跳)处理逻辑时,对于数据包中的长度域不加检查,攻击者利用这一点,获取数据包中可以达到64K内存的用户数据。使得攻击者可能...
阅读(4946) 评论(0)

Android Pileup ROM升级漏洞初探

最近由印第安纳大学以及微软的研究人员(下文简称:研究人员)共同发现了Android系统上一直存在的一个漏洞,并发表了相应的论文,论文中称此漏洞为“Pileup”。此漏洞涉及范围广泛,几乎涉及到了目前所有的Android发行版本。 那么到底是怎样的一个漏洞会有如此大的影响范围呢?下面让我们一探究竟。  Pileup 漏洞是研究人员对于“privilegeescalation through upda...
阅读(4509) 评论(0)
99条 共5页1 2 3 4 5 ... 下一页 尾页
    个人资料
    • 访问:746462次
    • 积分:8403
    • 等级:
    • 排名:第2239名
    • 原创:46篇
    • 转载:50篇
    • 译文:3篇
    • 评论:566条
    博客公告




    欢迎加入Android安全实验室QQ群交流学习:296752155





    博客专栏
    最新评论