国产成人毛片毛片久久网_国产午夜激无码av毛片不_国产乱对白精彩在线播放_av资源站中文字幕_亚洲男人的天堂网站_国产成 人 综合 亚洲网_中国国产激情一区_少妇一级淫片免费放_亚洲一本大道av久在线播放_免费观看美女裸体网站

Google Play被戲耍，惡意程序已上架多年

著名殺毒軟件公司卡巴斯基的研究人員表示，多年來，黑客們一直在使用 Google Play 散布一種非常先進(jìn)的后門程序，這種后門能夠竊取大量敏感數(shù)據(jù)。

卡巴斯基實(shí)驗(yàn)室的一位代表說，他們已經(jīng)恢復(fù)了至少8個可以追溯到2018年的 Google Play 應(yīng)用程序。研究人員認(rèn)為來自同一個組織的惡意應(yīng)用程序從2016年就開始在谷歌的官方市場上傳播。

在卡巴斯基的研究人員報告了這些惡意軟件后，谷歌立即刪除了這些軟件的最新版本。 第三方市場也托管了這些備受詬病的應(yīng)用程序，其中許多仍然可以使用。

多次繞過Google Play的安全檢查，官方拒絕透露細(xì)節(jié)

攻擊者主要使用了兩種方法繞過Google Play的審查程序。一種方法是首先提交一個無后門的應(yīng)用程序，然后在該應(yīng)用程序被接受后才添加后門。

另一種方法是在安裝過程中不使用授權(quán)，使用過程中用隱藏在可執(zhí)行文件中的代碼發(fā)起動態(tài)請求。

這些應(yīng)用程序提供的后門來主要用來收集被感染手機(jī)的數(shù)據(jù)，包括硬件參數(shù)、運(yùn)行的 Android 版本以及已安裝的應(yīng)用程序列表。

基于這些信息，攻擊者可以收集到手機(jī)用戶的位置、通話記錄、聯(lián)系人、文本信息和其他敏感信息。

卡巴斯基實(shí)驗(yàn)室的研究人員 Alexey Firsh 和 Lev Pikman 在一篇文章中寫道: 「我們對所有這些版本操作的主要理論是，攻擊者試圖使用不多種黑客技術(shù)繞過了谷歌的官方審查」。

谷歌拒絕透露上述惡意應(yīng)用程序是如何繞過程序?qū)彶榈摹?/p>

大多數(shù)應(yīng)用程序都要求手機(jī)root的功能，所以不要隨便root你的手機(jī)了！

這些應(yīng)用程序的巧妙之處在于，當(dāng)用戶可以訪問 root 權(quán)限時，惡意軟件會對一個名為“ setUidMode”的無證編程接口進(jìn)行反射調(diào)用，以獲得權(quán)限，而無需用戶參與。由卡巴斯基實(shí)驗(yàn)室識別的應(yīng)用程序包括:

神秘黑客組織浮出水面，技術(shù)雖老但很有效

卡巴斯基的研究人員將該黑客組織的攻擊稱為「幻想運(yùn)動」，他們確信這一系列長達(dá)數(shù)年的攻擊是 OceanLotus 所為。該組織主要攻擊亞洲各國政府、持不同政見者和記者。

OceanLotus小組也稱為APT32和APT-C-00，以針對亞洲東部地區(qū)的黑客行為而聲名狼藉。該小組不斷更新其后門軟件和基礎(chǔ)架構(gòu)，擅長使用多種技巧誘導(dǎo)用戶執(zhí)行后門程序，以減慢其分析速度從而避免被檢測到。

該組織的慣用后門程序主要分為兩部分：dropper和backdoor launcher。

我們拿一個典型的攻擊流程來看一下是被攻擊者是如何中招的，dropper偽裝成常規(guī)字體的TrueType字體更新程序。

dropper

當(dāng)執(zhí)行時，二進(jìn)制文件解密其資源（使用128字節(jié)的硬編碼密鑰進(jìn)行XOR）并解壓縮解密的數(shù)據(jù)（LZMA）。合法的RobotoSlab-Regular.ttf文件被寫入％temp％文件夾并通過Win32 API函數(shù)ShellExecute運(yùn)行。

從資源解密的shellcode被執(zhí)行后，偽字體更新程序?qū)�刪除另一個應(yīng)用程序，也就是釋放了「臟彈」之后再把自己刪掉。

Shellcode

Shellcode檢索三個Windows API函數(shù)：VirtualAlloc，RtlMoveMemory和RtlZeroMemory。

Real Dropper

該可執(zhí)行文件通過Windows API使用具有CBC模式的AES算法解密其資源，然后就得到了合法的可執(zhí)行程序rastlsc.exe。