【阿里聚安全·安全周刊】安卓應用變身流量小偷 | 黑客世界盃Pwn2Own日期公布

本周安全熱詞

▼

Android手機組成DDoS殭屍網路丨一鍵式國產Android勒索工具丨國家安全標準委對安全手機標準立項丨移動 Pwn2Own 黑客大會丨千款安卓應用變身流量小偷丨大疆無人機漏洞懸賞丨黑客竊取Instagram帳戶信息

1、WireX：Android智能手機組成的DDoS殭屍網路

最近多家安全公司組成的安全研究小組發現了一個新的、傳播廣泛的殭屍網路，它是由成千上萬的Android智能手機組成。

該殭屍網路名為WireX，被殺毒工具檢測識別為「Android Clicker」，主要包括運行從谷歌Play商城下載的數百個惡意軟體的Android設備，而這些惡意軟體被設計來進行大規模應用層DDoS攻擊。

谷歌已經確認並刪除了大部分WireX惡意軟體，下載這些APP的用戶主要來源於俄羅斯，和其他亞洲地區。但WireX殭屍網路依然小規模的活躍著。

詳情鏈接：https://jaq.alibaba.com/community/art/show?articleid=1052

2、國產Android勒索軟體製作工具，無需代碼即可一鍵生成

賽門鐵克最近公布一份報告，報告稱黑客們提供了一項勒索即服務（RaaS：ransomware-as-a-service）的木馬開發工具包，允許一個沒有任何編程能力的用戶使用這個軟體，在智能手機上生成Android勒索軟體。目前這項軟體針對中文用戶，並正在的開發者論壇和社交網路平台上傳播蔓延。

該軟體製作頁面非常簡單，可以定製勒索信、解密密匙、圖表、代碼算術運算以及在主機設備上播放動畫類別內容等。當填好所有信息之後，通過在線聊天功能一次性付款后，用戶就能按下「Create（生成）」這個按鈕。

今天的黑客似乎變的和之前不一樣，開始玩起了「授人以魚，不如授人以漁」的套路。

詳情鏈接：https://jaq.alibaba.com/community/art/show?articleid=1049

3、國家安全標準委對安全手機標準立項:含App許可權限定等

近日，在舉行的手機網路安全高峰論壇上獲悉，國家安全標準委已對安全手機標準立項。對安全手機標準立項，意在研究制定手機安全標準，其中將包括關鍵硬體、軟體信息基礎設施的網路安全防護能力，系統安全等級，App許可權限定等。

在此背景下，手機網路安全市場空間將快速拓展，有望從目前的約100億元規模擴張到千億元以上。

並預測2017年手機發展趨勢，一方面是基於硬體防護設置及保密通信的安全手機將成為未來手機安全防範熱點;另一方面，企業級移動安全是安全領域的下一個風口。

而且指出在數據持續泄露和對應用安全測試需求日益增長的背景下，企業安全方面的支出逐漸增加。

詳情鏈接：https://jaq.alibaba.com/community/art/show?articleid=1056

【會議】移動 Pwn2Own 黑客大會：攻破 iOS 獎勵 10 萬美元

日本網路安全公司 Trend Micro 今天公布第六屆移動 Pwn2Own 黑客大會將於今年 11 月 1-2日在東京 PacSec 安全會議上舉行。

這次的移動 Pwn2Own 黑客大會是 Trend Micro Zero Day 計劃的一部分，Zero Day 計劃專門向安全人員提供獎勵，想要獲得獎勵，需要找到蘋果、谷歌、三星和華為等公司系統軟體中的安全漏洞。

Pwn2Own 黑客大會的獎勵金額超過 50 萬美元，根據安全漏洞的不同，獎金也有變化。Safari 漏洞獎勵金額高達 4萬美元，而 SMS 簡訊安全漏洞獎勵金額高達 6 萬美元，基帶安全漏洞獎勵 10 萬美元。

詳情鏈接：https://jaq.alibaba.com/community/art/show?articleid=1051

【Android】隱藏惡意廣告插件 千款安卓應用變身流量小偷

根據網路營銷公司eZanga的最新報告顯示，上千款安卓手機應用程序隱藏惡意廣告插件，可在未經機主允許的情況下播放廣告和視頻，消耗用戶流量。

EZanga使用其Anura廣告欺詐保護軟體來查看隱藏在應用程序中的軟體開發工具包(也稱為SDK)的模塊，該模塊會在用戶未使用手機的情況下播放廣告和視頻。在夜間，惡意軟體甚至還在偷偷消耗手機的流量和電量。

該報告表明，裝載此SDK模塊的應用程序中，最受歡迎的程序在Google Play商店中擁有100萬次下載量，其中隱藏的欺詐性廣告每天大約要消耗用戶流量費總計約200萬美元(約合人民幣1300萬元)到1000萬美元(約合人民幣6700萬元)。

詳情鏈接：https://jaq.alibaba.com/community/art/show?articleid=1053

【漏洞】大疆無人機啟動漏洞懸賞計劃，最高獎金19.7萬元

8月31日訊 全球民用無人機及航拍技術領導者深圳DJI大疆創新正邀請白帽子黑客確保設備安全。大疆宣布推出「大疆威脅識別獎勵計劃」，最低獎勵為100美元（約合人民幣658元），最高3萬美元（約合人民幣197457元），金額根據威脅潛在的影響而定。

大疆技術標準總監沃爾特·斯托克韋爾在聲明中表示，安全研究人員、學術學者和安全專家分析大疆應用和其它軟體產品中的代碼后通常會提供有價值的服務。大疆希望吸取經驗，不斷改善產品，並願意酬謝漏洞發現者。

大疆正在開發網站，以詳述漏洞計劃相關條款及白帽子報告漏洞的形式。大疆還將採取多項內部審查程序，在產品推入市場之前評估並審查新應用軟體，以確保安全性、可靠性和穩定性。

詳情鏈接：https://jaq.alibaba.com/community/art/show?articleid=1054

【漏洞】黑客成功竊取Instagram帳戶信息 漏洞已修復

Instagram對外表示，至少一名黑客可以竊取知名用戶帳戶的個人信息，發生這樣的事情主要是因為系統有漏洞，現在該漏洞已經修復。

Instagram應用程序界面存在漏洞，惡意之人可以竊取一段代碼，裡面可能包含目標用戶帳戶的郵件地址、手機號碼。Instagram相信黑客瞄準的目標主要是知名度高的用戶，Instagram已經將問題告知驗證過的帳戶持有人。

詳情鏈接：https://jaq.alibaba.com/community/art/show?articleid=1057

假令牌定真出租：Faketoken.q木馬新變種分析

惡意程序Trojan-Banker.AndroidOS.Faketoken已經出現超過一年的時間了，在這一年多的時間裡，它已經從最開始的mTAN codes（雙因素認證）攔截木馬進化到了加密器。隨著該程序新變種的作者不斷改進，它的影響範圍也越來越大。有些變種已經覆蓋超過了2000款的商用APP。在該程序的最新版本中，我們檢測到了一種新的攻擊方式——定出租並支付道路交通安全委員會開具的罰單！ 就在不久之前——感謝來自一家大型俄羅斯銀行的同事們——我們檢測到了一個新的木馬樣例「Faketoken.q」，它有很多有趣的特性。

現如今大量的App使用屏幕覆蓋技術（Windows Managers，Messengers等），這可能會被攻擊者利用，並且防範起來非常複雜，這也是本次分析的重點 。

MD5：CF401E5D21DE36FF583B416FA06231D5

詳情鏈接：https://jaq.alibaba.com/community/art/show?articleid=1050

探索低功耗藍牙之看我如何逆向物聯網燈泡並控制它

作為一個IoT發燒友和夜貓子安全研究員，IoT一直吸引著我，因為我們每天使用的IoT應用程序都在讓生活變得更加輕鬆便利。我最近在亞馬遜上為我的書桌買了一個智能LED燈泡，可以通過應用程序，在安卓移動設備上用藍牙來控制，玩這個燈的時候發現它很有趣，如果whatsapp有新的通知，這個燈就會閃爍。它還能在早上叫醒我，總之我可以用很多方式和它進行交互，但是只能從它自帶的應用程序上操作。從使用一個應用程序到監視，控制設備，這是我一直以來想深入的部分，而這一切都在成為可能。

在這個過程中，他們並沒有採取最大的措施來確保設備的安全，這只是一個藍牙智能電燈泡，不會搞出大新聞，黑客最多也只能改變你家裡的燈泡顏色，但是如果智能鎖也是這樣，那麼麻煩就大了，你的車庫和家門就會受到很大威脅。或者一個基於tcp的設備，可以在DDoS攻擊時充當殭屍網路的一員，令人失望的是生產商只是簡單地參照了示例代碼， 甚至不改變藍牙協議本身提供的128位UUID靈活性。

詳情鏈接：https://jaq.alibaba.com/community/art/show?articleid=1055

* 完整文章詳情，請點擊「閱讀原文」

▼

移動安全 | 數據風控 | 內容安全 | 實人認證