技术指南

标签: 木马

  • 伪装成Google Play更新的Antidote木马正在威胁你的安卓设备

    即使现在大家对网络上的威胁都有一定的安全意识而保持警惕,部分恶意软件也会被巧妙地伪装起来,这使得完全避免漏洞变得更有挑战性。最新出现的威胁之一 Antidote 就是这种情况,这种特洛伊木马甚至会影响最勤奋的安卓设备用户。这种木马的目标是窃取登入凭证

    根据网络情报平台 Cyble 报导,Antidote 木马正试图通过将自己伪装成 Google Play 更新来渗透安卓设备。该木马最初由该公司于 5 月 6 日发现,其成功主要归功于隐藏身份的尝试。一旦安装到你的设备上,它就可以读取包含你的联络人到短信的所有内容。

    当 Antidote 木马尝试读取你的安卓设备时,你将看到一个虚假的 Google Play 更新,该更新会提示你在下载后存取你的设置。欺诈性的 Google Play 更新页面已被发现有多种语言,

    使得安全专家相信该恶意软件正在全球多个地区产生影响。如果你不确定手上的安卓设备是否受到该木马的影响,你可以通过执行防毒软件扫描来侦测与其关联的一些文件。

    随着网络威胁不断演变,谷歌正试图通过部署AI技术来保持领先地位。在 2024 年 I/O 活动上,谷歌公司宣布安卓安全功能未来将得到 AI 的支持,并专注于Android 15 和 Google Play 服务。该AI技术目的在即时运行,也就是说会持续扫描以检测潜在威胁。除了 Pixel 设备之外,联想、一加、Nothing 等公司的安卓产品也将在 2024 年稍后部署实时威胁侦测技术。

    Antidote 木马的危害分析

    1、伪装手段:

    Antidote 木马通过将自己伪装成 Google Play 更新来欺骗用户安装,这种隐蔽的方式使得用户难以察觉其真实意图。

    2、窃取用户资料:

    一旦安装到安卓设备上,Antidote 木马能够读取用户的各种信息,包括联系人、短信等敏感数据,严重威胁用户资料安全。

    3、多语言欺诈页面:

    该木马使用的欺诈性 Google Play 更新页面已被发现支持多种语言,表明其正试图在多个地区扩大影响范围。

    那么我们如何预防 Antidote 木马呢?

    1、要保持警惕:
    虽然用户可能具有一定的安全意识,但仍需对任何声称来自 Google Play 的更新保持警惕,尤其是当提示需要访问设备设置时。

    2、验证更新来源:

    确保从官方来源下载和安装应用更新,避免从非官方或不可信的第三方来源下载应用。

    3、执行防毒软件扫描:

    定期使用防毒软件对设备进行扫描,以检测并删除与 Antidote 木马关联的任何文件。

    3、关注谷歌安全更新:

    谷歌正通过部署人工智能技术来增强安卓设备和 Google Play 服务的安全性。用户可以关注谷歌发布的安全更新,并及时更新自己的设备和应用,以获取最新的安全保护功能。

    4、手机不要随意授权:

    你的手机在安装应用或更新时,注意应用请求的权限,避免给予过多不必要的权限,以减少潜在的安全风险。

    Antidote 木马通过伪装成 Google Play 更新来窃取用户资料,对用户的安全构成严重威胁。为了防范这种木马,用户需要保持警惕,验证更新来源,执行防毒软件扫描,并关注谷歌发布的安全更新。同时,不要随意授权应用权限,以减少潜在的安全风险。

  • 网银木马 TeaBot全球爆发,伪装成「QRcode 扫描器」上架 Google Play

    网银木马是中国国内针对网上交易系统编写的木马病毒,其目的是盗取用户的卡号、密码,甚至安全证书。此类木马种类数量虽然比不上网游木马,但它的危害更加直接,受害用户的损失更加惨重。网银木马通常针对性较强就比如 TeaBot 是一款从2021 年初开始冒头的 Android 网银木马,旨在窃取受害者的凭证和短信。

    为实现这一目的,这款远程访问木马(RAT)利用了行动装置的实时流式传输(按需请求)和辅助功能,使得攻击者能够接管受害者的账户。起初 TeaBot 是通过山寨恶意软件和诈骗短信来分发的,而由于现在大多数人都依靠行动装置进行各种付款,通信和双重身份验证,就自然成为了他们的首选目标,然而近期的案例,揭示其已升级了侧载技术、甚至潜入了Google Play Store。

     

    起初人们并没有注意TeaBot这款木马,导致经过发展数月后,人们终于开始发现TeaBot攻击目标有大幅增加之势。并且在检出的400+ 恶意 App 中,已经涵盖了网银、加密货币(交易所/ 钱包)、数字保险等领域,到目前为止,其攻击已针对欧洲用户。西班牙语,德语,意大利语,比利时和荷兰等市场区域。值得注意的是,曾早在2021年5月,Cleafy Labs 就报导了在意大利出现、主要针对欧洲银行的一款 Android 恶意软件。不过和刚开始的 TeaBot 一样,总给人以一种仍处于早期开发阶段的感觉,并没有得到重视,最终引发泛滥。

     

     

    据了解,我们得知最早期 Teabot 主要通过预先定义的「诱饵列表」来散播,例如将自己伪装成 TeaTV、VLC 媒体播放器、或者 DHL / UPS 快递等 App。最终在 2022年2月21日,被 Cleafy 威胁情报和事件响应团队(TIR)发现了,他们识别发现一款混入 Google Play Store 的恶意软件,特点是将自己伪装成了 App 更新包。

    此外,TeaBot病毒的作者为了欺骗更多人下载安装,似乎还会欺骗人给自己刷好评。毕竟在明面上,TeaBot很可能只以「QRcode 扫描器」的面目示人。截止奇点发稿时,「QRcode 扫描器」下载量已超10000+,且几乎看不到中差评。

  • 360旗下安全实验室Netlab发现Linux木马病毒RotaJakiro(双头龙)

    360旗下的网络安全研究实验室Netlab揪出潜伏在Linux系统中长达3年的木马程序RotaJakiro
    除了以AES来加密恶意软件内的信息,木马程序RotaJakiro与命令&控制(C&C)服务器的通讯,更采用AES、XOR、ROTATE与ZLIB压缩等加密算法,来掩饰行踪与来源
    .
    360旗下的网络安全研究实验室Netlab在本周指出,有一木马程序RotaJakiro潜伏在Linux系统中至少长达3年。

    根据Netlab的分析,RotaJakiro为一针对Linux x64系统的木马程序,它使用轮替加密,而且在执行后对于Root或非Root账户有不同的行为,犹如Dota游戏中的双头龙(Jakiro),使得该团队将它命名为RotaJakiro。
    Netlab团队追踪到RotaJakiro的C&C服务器,发现这些服务器存在的年代更久,在他们取得的4个RotaJakiro样本中,最早的一个是在2018年创立,而其C&C服务器最早建立的日期,却是在2015年。

    此外,Netlab团队也相信RotaJakiro与Torii傀儡网络有关,因为它们使用了很多一样的命令,建构的方式也非常的类似,同样利用各种加密算法来掩饰行踪与来源,也都采用老派的长驻与结构化的流量手法。

    Avast曾在2018年揭露Torii的存在,指称它是个复杂的IoT傀儡网络,可入侵包括MIPS、Arm、x86、x64、PowerPC与SuperH等架构的装置,且相信它至少自2017年便开始活动。

    RotaJakiro不仅以AES来加密恶意软件内的信息,其与命令&控制(C&C)服务器的通讯,更采用了AES、XOR、ROTATE与ZLIB压缩等加密算法,此外,RotaJakiro支持12种指令,其中有3种是执行特定的插件,Netlab团队目前尚未得知RotaJakiro的目的,推测其指令可能具备回报装置信息、窃取机密信息、查询/下载/删除档案,以及执行特定插件等功能。
    RotaJakiro隐蔽性较强,对加密算法使用比较多,包括:使用AES算法加密样本内的资源信息;C2通信综合使用了AES,XOR,ROTATE加密和ZLIB压缩算法。指令方面,RotaJakiro支持12种指令码,其中3种是和特定plugin相关的,遗憾的是目前我们并没有捕获到这类payload,因此并不知道它的真正目的。从广义的后门角度来看,RotaJakiro支持的功能可以归纳成以下4类:

    上报设备信息
    窃取敏感的信息
    文件/Plugin管理(查询,下载,删除)
    执行特定的Plugin
    当所有分析结束后,我们尝试对RotaJakiro进行溯源,根据解密后的资源以及编码的风格的相似性,我们推测它是Torii Botnet作者的又一作品。

    RotaJakiro潜伏了多少?
    我们从捕获的样本出发,寻找RotaJakiro同源者,最终发现了以下4个样本,它们在VT上都是0检测,从VT的First Seen时间来看,RotaJakiro至少已经存在了3年。

    概述
    2021年3月25日,360 NETLAB的BotMon系统发现一个的VT 0检测的可疑ELF文件(MD5=64f6cfe44ba08b0babdd3904233c4857),它会与4个业务类型截然不同的域名进行通信,端口均为TCP 443(HTTPS),但流量却并非TLS/SSL类型,这个异常行为引起了我们的兴趣,进一步分析发现它是一个针对Linux X64系统的后门木马,该家族至少已经存在3年但目前还是0检测。基于该家族使用rotate加密,并且运行后对root/non-root账户有不同的行为,犹如一只双头龙,一体双向,我们将它命名为RotaJakiro。

     

  • 杀毒软件Avast旗下系统清理程序CCleaner遭植入木马

    对于杀毒软件来说,最糗的不是解不到病毒,反而是自己的程序被植入木马吧?近期才刚被 Avast公司 并购的系统清理工具 CCleaner,虽然不算杀毒软件;但近期思科的资安团队 Talos,就发现 CCleaner 被黑且植入后门恶意软件,CCleaner官方也证实约有 200多 万人受害…..

     

     

    CCleaner 严格来说并不算是一个杀毒软件,反而是能帮助使用者快速「杀掉」计算机中的暂存档案、广告、Cookies 等日常不会注意,但长久就会占据空间的垃圾档案。算算全球已累积近 20 亿次的下载量,也可看出这款软件的魅力之处,也让 Avast 于今年 7 月宣布并购母公司 Pirifrorm。不过这次被害真的有点糗啊…..

    ▼CCleaner 母公司 Pirifrorm 在2017年 7 月时被 Avast 并购,不过本次被黑客入侵,对身为杀毒软件的 Avast 来说,面子恐怕有些挂不住啊。

     

     

    目前 Avast 和 Pirifrorm 皆已证实 CCleaner 被害的消息,受影响的版本为 CCleaner v5.33.6162 32-Bit 与 CCleaner Cloud v1.07.3191 云端两种版本。攻击原理简单来说,就是黑客透过窜改内部程序,并植入后门搭配远端 IP 输送程序码,可窃取受攻击的人计算机内的相关档案,并传回外部 C&C 服务器中轻易获得他人隐私。

     

    目前官方已经出面将问题版本下架,并推出最新版本。目前 Avast 也宣称影响从200多万降至 80多 万;不过对一款杀毒软件为主打的公司,旗下工具遭到黑客入侵,虽说 CCleaner 的流通量大,容易变成目标,还是有点说不过去了吧。

  • 苹果ios app感染XcodeGhost木马病毒怎么办?哪些苹果软件被置病毒?

     

    根据国内著名安全技术论坛乌云漏洞平台报道,国内多家公司的ios App开发者使用了第三方途径下载的Xcode开发环境(非Apple正规途径),这些公司的开发者下载了被植入了恶意代码的iOS应用开发工具Xcode,导致其编译后应用感染上了一种名叫XcodeGhost的病毒,XcodeGhost病毒会自动发送信息至第三方远端服务器,XcodeGhost病毒不但会在app应用运行时窃取用户信息,并且非常有可能窃取用户的苹果iTunes密码。 (更多…)

  • “Q币掠夺者”木马病毒盗取QQ帐号密码和Q币怎么办?

    最新许多QQ的用户都声称:在个人的QQ空间里无故收到很多色情图片和各种各样的虚假网络广告。最近网络安全专家检测发现,导致用户QQ登录异常的原因是因为电脑感染了一款名为“Q币掠夺者”最新出现的QQ盗号木马病毒。 (更多…)