【阿里聚安全·安全周刊】iPhone數據線或已變身監控器 | AVPass技術分析：如何繞過谷歌play殺毒引擎

本周熱詞

▼

Xshell 5官方版本被植入後門 | iPhone數據線變身監控器 | Google play再現 SonicSpy | Facebook嚴肅處理暴力威脅內容| 強密碼和弱密碼區別？ | 互聯網內容「掃黃打非」

【安全資訊】

1

1、安全預警：Xshell 5官方版本被植入後門，更新即中招（國內已有用戶受影響）

Xshell是一款功能強大的伺服器終端管理軟體，支持SSH1、SSH2、TELNET等協議，由國外公司NetSarang開發，在運維、站長、安全等圈子裡有極多受眾。近日消息，知名伺服器終端管理軟體Xshell在7月18日發布的5.0 Build 1322官方版本被植入後門，用戶下載、更新到該版本均會中招。

詳情鏈接：https://jaq.alibaba.com/community/art/show?articleid=1025

2、警惕！你的iPhone數據線或已變身監控器

第三方在網上出售的蘋果數據線可能已變身監視器。比如亞馬遜上出售的數據線含有一個隱藏的SIM卡槽口可連接至GSM移動網路，實施惡意活動。

在亞馬遜和其它網店上出售的USB和iPhone數據線能監聽用戶電話通話並追蹤位置信息。當這些數據線連接至電源時，他們能使用一張SIM卡連接到某個移動網路。像數據線這樣的硬體雖並不複雜但可將音頻信息和大致位置信息發送給第三方。

這些位置系統使用GPRS和基站信息追蹤iPhone手機的位置。該系統並不太複雜且不是特別精確。更讓人擔心的功能是數據線能在某個閾值範圍檢測到聲音隨後撥打預設置的號碼。不管是電話號碼還是對話，一旦該系統能檢測到聲音，第三方就可監聽。

USB電源適配器也具有SIM功能。數據線和USB電源適配器應該都進行安全檢查，否則會泄露很多敏感信息。

詳情鏈接：https://jaq.alibaba.com/community/art/show?articleid=1033

3、從Google Play下載應用並不安全，上千款監視軟體偽裝其中

如果你認為在官方應用市場里下載app就覺得安全的話，小編可以負責任的回答你：「too young too simple,sometimes native」

近日安全研究者發現在第三方應用市場和谷歌Play應用商店 存在上千款惡意偽裝軟體。它們可以監視用戶行為，比如對用戶撥打電話，靜默錄音等。該惡意軟體名為SonicSpy，它偽裝成一個即時通信app，並從今年2月份開始，在各大應用市場里瘋狂蔓延傳播，連谷歌Play都不幸中招。

SonicSpy間諜軟體可以執行大量惡意任務，讓它成為一個完美的移動竊聽器。數據顯示它們已經被用戶下載超過上千次。雖然Soniac、Hulk Messenger、Troy Chat均已被被谷歌應用市場下架移除，但是它們依舊活躍在其他第三方Android應用市場。

詳情鏈接：https://jaq.alibaba.com/community/art/show?articleid=1027

4、Facebook承諾更嚴肅地處理仇恨言論與暴力威脅內容

在上周末弗吉尼亞州夏洛茨維爾發生暴力衝突事件之後，Facebook CEO 馬克·扎克伯格終於在今日打破了沉默，承諾對線上的仇恨言論和相關群組採取措施。他在 Facebook 上發表了一篇長文，稱該公司「正在密切關注事態，並將打擊人身傷害的威脅」，但也不忘提醒還有更多籌劃中的新納粹與白人至上主義者的集會：「我們並不總是完美，但承諾會繼續努力讓 Facebook 成為讓每一個人都感到安全的地方」。

詳情鏈接：https://jaq.alibaba.com/community/art/show?articleid=1031

2

5、強密碼和弱密碼並沒有什麼區別？NIST密碼安全標準更新：不再建議密碼要求混合大寫字母、字元和數字

作為一名認真負責的小編，每次註冊賬號設置密碼的時候都是最痛苦的，太簡單的怕被破解，太難的又記不住。

等你好不容易記住密碼，三個月後IT同學過來拍拍你的肩膀，「你的密碼到期了，記得改啊……」

當年NIST主管Bill Burr撰寫了一份名為NIST Special Publication 800-63的文檔，建議大家設置密碼時混合大寫字母、字元和數字，並定期修改。這麼成（keng）熟（die）的建議後來被各大媒體廣為傳播，一時傳為美談。

但在今年6月，原作者後悔了……美國國家標準和技術協會（NIST）提供的最新數字身份指南的新版草案中，不再推薦用戶使用這一標準，因為研究顯示此類標準，並沒有什麼卵用……

詳情鏈接：https://jaq.alibaba.com/community/art/show?articleid=1017

3

6、全國「掃黃打非」辦公室會同七部門開展互聯網低俗色情信息整治行動

近日，全國「掃黃打非」辦公室會同宣傳、網信、工信、公安、文化、工商、新聞出版廣電等部門，在全國範圍內開展互聯網低俗色情信息專項整治行動。專項行動自8月份開始，分為部署準備、整治行動、全面總結三個階段，至9月底結束。

一是嚴格督促互聯網企業落實內容把關責任，互聯網站、應用程序、微博、微信、搜索引擎等相關運營企業必須強化內容安全管理，深入開展自查自糾，有效提升對低俗色情等有害信息的識別和處置能力；

二是嚴厲打擊含有低俗內容的違法互聯網廣告，重點監管涉醫療、藥品、食品、保健品及投資收藏等內容的互聯網廣告，深入查處以低俗色情圖片、視頻等誘導點擊、推廣網站的行為，依法整治含有低俗色情內容的違法廣告；

三是大力清查低俗網路遊戲，嚴禁以打「擦邊球」為噱頭、內容低俗的遊戲網上傳播，堅決處罰以低俗色情廣告進行遊戲推廣的企業。

期間各大媒體平台紛紛中招，內容安全亟需解決。

詳情鏈接：https://jaq.alibaba.com/community/art/show?articleid=1032

7、【聚安全首發】AVPass技術分析：銀行劫持類病毒鼻祖BankBot再度來襲，如何繞過谷歌play的殺毒引擎？

近期，一批偽裝成flashlight、vides和game的應用，發布在google play官方應用商店。經錢盾反詐實驗室研究發現，該批惡意應用屬於新型BankBot。Bankbot家族算得上是銀行劫持類病毒鼻祖，在今年年初曾爆發，之前主要針對歐洲國家，可劫持50多家銀行應用，而新發酵的BankBot已將攻擊目標擴散到全球，可劫持銀行增加到145家。

能上架應用商店和入侵用戶手機，BankBot使用了AVPass技術，包括針對靜態分析和動態沙盒的逃逸，這樣成功繞過大多數殺毒引擎。可信應用商店＋繞過殺毒引擎，這樣病毒自然能輕鬆入侵用戶手機。本文接下來的內容將解析BankBot是如何規避殺毒引擎

詳情鏈接：https://jaq.alibaba.com/community/art/show?articleid=1028

8、Dvmap：第一款使用代碼注入的Android惡意軟體

Dvmap是非常特別的系統級惡意軟體。它使用各種新技術，其中最有趣的是它將惡意代碼注入到系統庫libdmv.so或libandroid_runtime.so中。這使得Dvmap成為第一個在運行時將惡意代碼注入系統庫中的Android惡意軟體，該惡意軟體已從Google Play商店下載超過50,000次。卡巴斯基實驗室向Google報告了該惡意軟體，現在該惡意軟體已經從Google Play應用商店中刪除。

為了繞過Google Play應用商店的安全檢查，惡意軟體創建者使用了一個非常有趣的方法：他們在2017年3月底之前將一個乾淨的應用程序上傳到Google Play應用商店，然後會在短時間內更新軟體，更新后的軟體將包含具有惡意功能的模塊，一般他們都會同一天在Google Play應用商店上傳一個乾淨的版本。

一般情況下，所有的類似於Dvmap這樣的惡意應用程序都具有相同的功能。他們都會從安裝包的assets文件夾中解密多個歸檔文件，並從解密后的文件中執行以「start.」開頭的可執行程序。

好了，讓我們進入原文看看他到底是怎麼執行的。

詳情鏈接：https://jaq.alibaba.com/community/art/show?articleid=1034

9、iOS macOS的后滲透利用工具：EggShell

EggShell是一款基於Python編寫的iOS和macOS的后滲透利用工具。它有點類似於metasploit，我們可以用它來創建payload建立偵聽。此外，在反彈回的session會話也為我們提供了許多額外的功能。例如文件的上傳/下載，拍照，定位，shell命令執行，許可權維持，提權，密碼檢索等。

在伺服器通信方面EggShell則採用了128位AES端到端的加密，並同時能夠處理多個客戶端程序。這是一個概念驗證工具，適用於在你自己的機器上使用。

詳情鏈接：https://jaq.alibaba.com/community/art/show?articleid=1030

* 完整文章詳情，請點擊「閱讀原文」

▼

一站式解決企業業務的安全問題

移動安全 | 數據風控 | 內容安全 | 實人認證