移动平台流量黑产研究——色情播放器类恶意软件产业链

360烽火实验室 摘    要 360烽火实验室8月底发现了三组异常流量曲线,流量曲线呈现存活时间短,连续3天此消彼长的态势,访问量集中最高峰值达到近2万次。 大量可疑下载链接数指向的文件均为名称具有诱惑性、图标暴露的色情播放器类恶意软件,并且链接都包含固定的“list/日期”格式。 可疑下载链接均来自重定向跳转,流量数据包中的Set-Cookie的值都有一个十分明显的固定特征“cdm=http”…

继续阅读 →

内网穿透——Android木马进入高级攻击阶段

  360烽火实验室 一.    概述 近日,360烽火实验室发现有数千个样本感染了一种名为“DressCode”的恶意代码,该恶意代码利用实下流行的SOCKS代理反弹技术突破内网防火墙限制,窃取内网数据。这种通过代理穿透内网绕过防火墙的手段在PC上并不新鲜,然而以手机终端为跳板实现对企业内网的渗透还是首见[1]。 SOCKS是一种网络传输协议,SOCKS协议位于传输层与应用层之间,所以…

继续阅读 →

Android N限制重置密码以遏制勒索软件

360烽火实验室 一.     Android N安全特性概览 Android N即Android 7.0,代号“牛轧糖”,是Google于2016年7月份推出的最新版智能手机操作系统。Android N带来了诸多新特性与功能,它们将对系统整体性能进行提升,特别对安全性进行了强化。 图1给出了Android N带来的主要变更,一方面,Android N对部分原有功能进行了优化,如应用程序编译、电池…

继续阅读 →

Android逃逸技术汇编

360烽火实验室 摘    要 传统逃逸技术涉及网络攻防和病毒分析两大领域,网络攻防领域涉及的逃逸技术主要为网络入侵逃逸技术,病毒分析领域涉及到的逃逸技术主要包括针对静态分析、动态分析的木马逃逸技术。 本文介绍的Android木马逃逸技术研究了针对用户感知、杀软查杀、沙箱动态养殖和人工分析的各种逃逸技术。 大多数Android木马的作恶途径是长期留存用户终端,通过持续性作恶获取收益。 为达到稳定留…

继续阅读 →

Android系统新权限模型剖析与预警

360烽火实验室 一、    新权限模型介绍 (一)Android版本演变与权限模型变更 前不久Google发布了新的系统版本Android 7.0。在之前发布的6.0版本中,引入了一种新的权限模型。新权限模型在旧模型基础上加入了运行时动态权限检查,权限不再是安装时一次性全部授予,而是运行时动态申请与授予,如果开发者未按要求动态申请权限或者权限申请未被用户许可,应用程序的相应行为将无法实施;同时,…

继续阅读 →

Android Accessibility安全性研究报告

360烽火实验室 第一章    Accessibility简介 近期,360烽火实验室发现一款滥用Accessibility的木马,该木马具有浏览器地址栏劫持、搜索劫持、桌面点击劫持以及防卸载等系列恶意行为。本报告将结合我们对该木马的分析,从Accessbility的设计初衷、技术发展、滥用情况等角度研究Accessibility的安全性。 一、    设计意义 依据Android官方文档,考虑到…

继续阅读 →

网络电信诈骗之电话号码劫持

日前,360烽火实验室发布的《深入分析跨平台网络电信诈骗》[[1]]报告中曝光了跨平台网络电信诈骗的黑色产业链。报告发布后,移动平台网络电信诈骗类恶意软件的数量急剧下降。 近期,我们捕获一类网络电信诈骗恶意软件的新型变种。该类变种是诈骗者在对受害者进行电信诈骗时,以涉嫌犯罪为由恐吓受害者。向受害者手机发送包含恶意程序下载链接的信息,以获取“案件号”、“单位代号”、“电子凭证”为由诱骗受害者点击链接…

继续阅读 →

“地狱火”手机病毒——源自安卓系统底层的威胁

0x00     背景 近 日,360安全中心收到多起用户反馈,手机中了一种难以清理的病毒,某些用户尝试自行清理掉病毒,发现删除病毒文件vold.apk后,会再次重现。通过分析,发现此病毒已经寄生到系统底层,定时恢复APK实现自我保护。随着反馈用户数量急剧上升,360手机急救箱已下发紧急查杀方案,全面支持清理该手机病毒。 通过分析,我们发现在手机病毒发展史上,首次利用了在Android系统中通过修…

继续阅读 →

“万蓝”ROM级手机木马分析报告

摘要          今年五月中旬,有用户向360安全中心反馈手机经常自动安装新的游戏应用,经过360互联网安全中心分析排查发现用户中的是一个ROM级别的木马。该木马主要通过获取云端指令进行静默安装推广应用,并可以实现自身升级。木马自身支持多达40个命令类型[附录1],用以辅助实现静默安装推广应用和自身升级。          通过对已有数据和木马网络后台的挖掘查询,发现该木马历史上曾出现的版本…

继续阅读 →

手机锁屏勒索国内首现身

by 张昊          近期,360互联网安全中心截获到了一批伪装成游戏外挂、QQ刷赞、付费破解等类型的恶意软件。一旦用户点击运行,用户手机就会被锁住,即使强制重启也没有用,造成用户手机无法进行任何操作。如果用户想要解锁手机只能联系恶意软件界面上留下的QQ号码并向其进行付费,从而达到勒索用户资金的目的。目前,360手机卫士已经可以全面查杀该类型恶意软件。   一、锁屏原理          …

继续阅读 →