分类木马分析下的文章

360烽火实验室(360 Beaconlab) 发布于 10月11, 2018

剪贴板幽灵:币圈的神偷圣手

摘 要2018年4月,360互联网安全中心在PC平台首次监控到一类加密数字货币木马。该木马不断监控用户的剪贴板内容,判断是否为比特币、以太坊等加密数字货币地址,然后在用户交易的时候将目标地址改成自己的地址,悄悄实施盗窃,我们将其命名为“剪贴板幽灵”。由于攻击电子钱包能直接获取大量收益,PC上已经出了攻击电子钱包的木马。截至到2018年6月,360安全卫士共拦截了超过5万笔这类木马攻击,帮助用...

阅读全文 »

360烽火实验室(360 Beaconlab) 发布于 09月19, 2018

SensorBot:利益驱动下的病毒营销

近日,360烽火实验室的异常数据检测系统捕获到一类名为“SensorService”的应用存在异常行为。分析发现其通过某广告SDK传播,安装后无图标,并且伪装成系统服务,利用系统漏洞进行提权,接收云端服务器控制命令进行静默安装推广应用、刷量等恶意操作。这类恶意应用不仅给用户的隐私及财产安全带来了极大风险,而且静默推广的方式严重损害了软件厂商的品牌形象。根据应用名及恶意功能等特点,我们将其命名为Se...

阅读全文 »

360烽火实验室(360 Beaconlab) 发布于 09月07, 2018

ArmaRat:针对伊朗用户长达两年的间谍活动

360烽火实验室一、 主要发现2016年7月起至今,360烽火实验室发现一起针对伊朗Android手机用户长达两年之久的间谍活动。截至目前我们一共捕获了Android 样本18个,涉及的 C&C 域名5个。 2016 年7月,我们捕获了第一个Android平台下伪装成“Telegram Channel Assistance”应用的木马,在此后的两年中,我们又先后捕获了与此相关的数十个...

阅读全文 »

dqriot 发布于 11月10, 2017

ExpensiveWall家族变种再现Google Play

360烽火实验室 近期,360烽火实验室发现Google Play上架了4款均使用了某厂商加固的ExpensiveWall家族变种,它能够在用户不知情的情况下私自发送扣费短信,给用户带来经济损失。 我们发现后在第一时间通知Google,Google立即从其商店中删除了相关APP。但根据Google Play安装数据显示,仍然有10,000 - 50,000部手机受到感染。 它是如何运作的根据g...

阅读全文 »

dqriot 发布于 12月01, 2016

内网穿透——Android木马进入高级攻击阶段

360烽火实验室

一. 概述

近日,360烽火实验室发现有数千个样本感染了一种名为“DressCode”的恶意代码,该恶意代码利用实下流行的SOCKS代理反弹技术突破内网防火墙限制,窃取内网数据。这种通过代理穿透内网绕过防火墙的手段在PC上并不新鲜,然而以手机终端为跳板实现对企业内网的渗透还是首见[1]。

阅读全文 »

dqriot 发布于 07月21, 2016

网络电信诈骗之电话号码劫持

日前,360烽火实验室发布的《深入分析跨平台网络电信诈骗》[[1]]报告中曝光了跨平台网络电信诈骗的黑色产业链。报告发布后,移动平台网络电信诈骗类恶意软件的数量急剧下降。

近期,我们捕获一类网络电信诈骗恶意软件的新型变种。该类变种是诈骗者在对受害者进行电信诈骗时,以涉嫌犯罪为由恐吓受害者。向受害者手机发送包含恶意程序下载链接的信息,以获取“案件号”、“单位代号”、“电子凭证”为由诱骗受害者点击链接,下载安装恶意程序以此来获得受害者手机的控制权。然后诈骗者要求受害者主动拨打110报警,然后安装在受害人手机中的恶意程序将原本拨打给110的电话,劫持之后转为拨打诈骗者的号码,从而让受害者信以为真,落入了诈骗者精心布下的圈套。接下来,恶意程序获取各种短信特别是验证码信息,实现转账,消费,造成受害者财产损失。目前360手机卫士已对该类木马变种全面查杀。

阅读全文 »

dqriot 发布于 06月21, 2016

“地狱火”手机病毒——源自安卓系统底层的威胁

0x00 背景

近 日,360安全中心收到多起用户反馈,手机中了一种难以清理的病毒,某些用户尝试自行清理掉病毒,发现删除病毒文件vold.apk后,会再次重现。通过分析,发现此病毒已经寄生到系统底层,定时恢复APK实现自我保护。随着反馈用户数量急剧上升,360手机急救箱已下发紧急查杀方案,全面支持清理该手机病毒。

阅读全文 »

dqriot 发布于 04月25, 2016

百脑虫之HOOK技术分析

0x00 背景2015年末爆发了感染量过百万的“百脑虫”手机病毒,经过360移动安全团队深入的跟踪和分析,我们又发现了病毒的另一核心模块,此模块包括3个ELF系统文件configpppm、configpppi、configpppl和一个伪装成系统应用的核心apk文件以及一个configpppl.jar文件。我们发现这些模块都使用之前发现的conbb(configopb)执行命令。在新发现的模块中,...

阅读全文 »

dqriot 发布于 03月24, 2016

“道有道”的对抗之路

作者:360移动安全团队一、背景今年央视3.15晚会曝光了道有道科技公司通过推送恶意程序,使手机用户被莫名扣费的问题,引起了广大手机用户的高度关注。 360移动安全团队对道有道广告SDK进行了分析与研究。截至2016年3月底,嵌入道有道广告SDK的应用软件累计达到80万个,从月增样本数量统计可以看出,在去年年中的一个月内就收录了近10万个。 二、广告形式在道有道的官网上,介绍了其广告SDK的展现形...

阅读全文 »

dqriot 发布于 03月08, 2016

“舞毒蛾”木马演变报告

作者:360移动安全团队一、概述近期,360移动安全团队监测到一款云控木马正在集中爆发。该木马家族最早于2015年2月被360移动安全团队捕获,目前已经累计样本超过1.2万个。由于该木马有多个版本演变并会下载多个恶意文件执行恶意行为,我们将该木马命名为“舞毒蛾”。 “舞毒蛾”木马是一个典型的云控木马,会联网下载恶意代码包并在本地释放提权代码,静默申请手机Root权限,不仅会向系统写入恶意文件,还会...

阅读全文 »