Browsed by
作者:dqriot

Android N限制重置密码以遏制勒索软件

Android N限制重置密码以遏制勒索软件

360烽火实验室 一.     Android N安全特性概览 Android N即Android 7.0,代号“牛轧糖”,是Google于2016年7月份推出的最新版智能手机操作系统。Android N带来了诸多新特性与功能,它们将对系统整体性能进行提升,特别对安全性进行了强化。 图1给出了Android
Android逃逸技术汇编

Android逃逸技术汇编

360烽火实验室 摘    要 传统逃逸技术涉及网络攻防和病毒分析两大领域,网络攻防领域涉及的逃逸技术主要为网络入侵逃逸技术,病毒分析领域涉及到的逃逸技术主要包括针对静态分析、动态分析的木马逃逸技术。
Android系统新权限模型剖析与预警

Android系统新权限模型剖析与预警

360烽火实验室 一、    新权限模型介绍 (一)Android版本演变与权限模型变更 前不久Google发布了新的系统版本Android 7.0。在之前发布的6.0版本中,引入了一种新的权限模型。新权限模型在旧模型基础上加入了运行时动态权限检查,权限不再是安装时一次性全部授予,而是运行时动态申请与授予,如果开发者未按要求动态申请权限或者权限申请未被用户许可,应用程序的相应行为将无法实施;同时,用户可以在应用程序权限管理中随时撤销掉已授予的权限。这样的动态权限模型让用户对应用程序运行时权限拥有更强的可视性与控制性,赋予了用户更多权限管理主动权,增强了权限模型的安全性。在最新的7.0版本中,依旧沿用了此权限模型。各版本Android系统所占比例如图1所示。 图1
Android Accessibility安全性研究报告

Android Accessibility安全性研究报告

360烽火实验室 第一章    Accessibility简介 近期,360烽火实验室发现一款滥用Accessibility的木马,该木马具有浏览器地址栏劫持、搜索劫持、桌面点击劫持以及防卸载等系列恶意行为。本报告将结合我们对该木马的分析,从Accessbility的设计初衷、技术发展、滥用情况等角度研究Accessibility的安全性。 一、   
网络电信诈骗之电话号码劫持

网络电信诈骗之电话号码劫持

日前,360烽火实验室发布的《深入分析跨平台网络电信诈骗》[[1]]报告中曝光了跨平台网络电信诈骗的黑色产业链。报告发布后,移动平台网络电信诈骗类恶意软件的数量急剧下降。 近期,我们捕获一类网络电信诈骗恶意软件的新型变种。该类变种是诈骗者在对受害者进行电信诈骗时,以涉嫌犯罪为由恐吓受害者。向受害者手机发送包含恶意程序下载链接的信息,以获取“案件号”、“单位代号”、“电子凭证”为由诱骗受害者点击链接,下载安装恶意程序以此来获得受害者手机的控制权。然后诈骗者要求受害者主动拨打110报警,然后安装在受害人手机中的恶意程序将原本拨打给110的电话,劫持之后转为拨打诈骗者的号码,从而让受害者信以为真,落入了诈骗者精心布下的圈套。接下来,恶意程序获取各种短信特别是验证码信息,实现转账,消费,造成受害者财产损失。目前360手机卫士已对该类木马变种全面查杀。 一、电话号码劫持原理 该类样本使用的是Android拨打电话前,可以对拨打的号码进行处理的特性。具体是Android在拨打电话时会发送action为android.intent.action.NEW_OUTGOING_CALL的广播,该广播由系统发出,不能被终止,但可以使用BroadcastReceiver接受并处理该广播。常用于VoIP网络电话中,对号码进行添加前辍的处理。 二、网络电信诈骗的骗术 1.
“地狱火”手机病毒——源自安卓系统底层的威胁

“地狱火”手机病毒——源自安卓系统底层的威胁

0x00     背景 近 日,360安全中心收到多起用户反馈,手机中了一种难以清理的病毒,某些用户尝试自行清理掉病毒,发现删除病毒文件vold.apk后,会再次重现。通过分析,发现此病毒已经寄生到系统底层,定时恢复APK实现自我保护。随着反馈用户数量急剧上升,360手机急救箱已下发紧急查杀方案,全面支持清理该手机病毒。 通过分析,我们发现在手机病毒发展史上,首次利用了在Android系统中通过修改系统Boot
移动平台千王之王大揭秘

移动平台千王之王大揭秘

  作者:360烽火实验室 摘    要 近期,360烽火实验室发现一类潜藏两年之久的Android木马,被利用专门从事私彩赌博、短信诈骗活动。该木马集远程控制、中间人攻击、隐私窃取于一身,能够在受害者不知情的情况下,拦截并篡改任意短信,监控受害者的一举一动。通过对该类木马的追踪发现,常见的社交类软件也在攻击中被利用。
安全预警:勒索软件正成为制马人的新方向

安全预警:勒索软件正成为制马人的新方向

作者:360移动安全团队 引言 4月份360 移动安全团队发布的《Android勒索软件研究报告》详细揭露了目前国内Android勒索软件黑色产业链情况。其中,报告中指出国内勒索软件传播方式主要借助QQ群、受害者、贴吧和网盘。另外,报告也指出国内勒索软件的制作门槛低,制作人群呈现年轻化等特点。 我们在最近的研究分析中发现,勒索软件的恶意行为出现了新的变化趋势,开始出现交叉式传播。勒索软件通过遍历手机通讯录,向联系人群发带有恶意下载链接的短信的方式进行恶意软件的传播。传播的对象不仅是恶意软件自身,还有其他家族木马,如:专门通过窃取手机支付验证码及其它用户手机重要隐私信息,以达到洗劫用户资金目的的FakeTaobao[1]木马家族。 据我们所知,借助短信方式传播的Android木马家族SpamSoldier[2]最早出现在2012年12月,在2014年8月全国范围内爆发的“XX神器”事件[3]中被媒体和网民广泛的关注。目前为止,FakeTaobao木马家族是使用这种裂变式传播方式最活跃的木马家族。 我们通过恶意软件中制马人留下的信息,回溯了其长达半年之久的制马活动后发现,勒索软件传播出现的裂变式传播和交叉传播新趋势,正是由于制马人制马类型不再单一,正在变得多元化,而勒索软件正在成为制马人制马的新方向。 第一章
百脑虫之HOOK技术分析

百脑虫之HOOK技术分析

0x00 背景 2015年末爆发了感染量过百万的“百脑虫”手机病毒,经过360移动安全团队深入的跟踪和分析,我们又发现了病毒的另一核心模块,此模块包括3个ELF系统文件configpppm、configpppi、configpppl和一个伪装成系统应用的核心apk文件以及一个configpppl.jar文件。我们发现这些模块都使用之前发现的conbb(configopb)执行命令。在新发现的模块中,病毒使用了更高超的技术,可以在用户毫无察觉的情况下修改短信内容恶意扣费,从而非法获益。 0x01传播途径 此病毒母体一般都是寄生在色情应用或者手机预装,这类色情应用都是没有什么实质上的内容,只是图标和名字很诱人而已,诱导下载安装病毒。一旦安装,病毒也就找到了宿主,即使卸载这类应用,病毒母体也不会被卸载。每次手机开机,病毒都会启动,即使手机恢复出厂设置病毒也不会被清除。 0x02病毒行为概述 一、恶意扣费(针对移动应用商城,APP应用厂商背黑锅) 病毒注入所有APP应用,在APP应用进行短信订购支付时,病毒判断是否是包含移动应用商城模块,然后替换支付内容,导致用户支付后也没有得到应有的功能,APP应用厂商也没有充值记录,导致用户认为APP应用厂商的程序有问题。这样,病毒偷了钱还嫁祸给应用厂商而且用户也无法察觉已中毒。 二、云端服务器加载恶意代码 核心功能classes.dex文件存放在云端服务器,这样做对幕后黑手的好处有以下几点: 1、随时更新功能:可能今天执行扣费指令,明天执行盗取银行密码、支付宝密码指令,后天安装各种APK应用等等,潜在危险巨大。 2、难以取证:幕后黑手发现被盯上,随时可以关闭服务器或改为正规功能,不会留下恶意扣费的相关证据。 三、修改系统核心文件 手机系统易死机,应用启动迟缓。 四、技术手段高超 注入zygote修改framework需要对安卓手机底层了解非常透彻才能有如此大作,推测是分工明确的团队产品。   0x03病毒详细分析 病毒框架大体流程如下: 图[1]:框架流程 图[2]:注入zygote 图[3]:病毒jar模块功能 1.诱惑应用释放病毒母体文件或手机预装就存在病毒,病毒下载运行云端核心DEX文件,执行核心功能函数crackZygoteProcess()。 2.木马加载libconfigpppm.so动态库,调用导出函数configPPP()测试修改framework内容是否可行; 图[4]:调用configPPP() 3.root权限运行configpppi.so,参数为Zygote进程的PID,修改Zygote进程; 图[5]:运行configpppi 4.创建一条线程检测"com.android.phone"进程并结束,此进程为系统核心进程,被结束后会自动启动,重新启动后的“com.android.phone”就被注入了病毒模块; 图[6]:重启"com.android.phone"注入病毒jar模块 5.杀死360、金山等杀毒软件,永久删除。 图[7]:结束各种杀毒软件并删除. 6.病毒JAR注入所有APK,等待时机恶意扣费。 以上操作完成之后,以后启动的每个APK应用都会加载病毒模块,从QQ、支付宝、微信、银行app到各种手机游戏,病毒可以随意操控程序流程。 举个栗子-中毒后最终效果: 我的移动手机已经中毒并且在“移动应用商城”官网下载了“捕鱼达人”,畅玩游戏时想花点钱升级VIP或者买个道具(此时病毒注入游戏),进行消费支付提示后,游戏币却没有充值成功,然而却被扣费,此时我一口咬定游戏厂商应用出了问题,明明扣费却不给道具。而实际上,病毒在支付的时候就把支付内容修改,最终导致用户和APP应用厂商相互误解。   图[8]:病毒导致应用厂商背黑锅   详细分析核心模块: 我们详细分析一下libconfigpppm、configpppi、configpppl是怎么注入安卓进程并HOOK