Android恶意应用CamScanner下载量超1亿;xHelper在4个月内感染3.2万个智能设备

发布时间 2019-08-29

1.Android恶意应用CamScanner下载量超1亿



卡巴斯基研究人员发现CamScanner的免费版存在一个隐藏的Trojan Dropper模块,可允许远程攻击者在用户不知情的情况下下载和安装恶意程序。CamScanner是一款受欢迎的手机PDF创建APP,它在谷歌 Play商店的下载量超过1亿。恶意模块实际上并不存在于CamScanner本身的代码中,而是在第三方广告库中,因此可以推断这是App开发者和不道德的广告商合作的结果。该模块可以通过多种方式利用受感染的设备,从显示侵入性广告到付费订阅窃取话费等。应该注意的是,CamScanner的付费版本不包含第三方广告库。谷歌已经从官方Play商店中删除了该APP。


原文链接:

https://thehackernews.com/2019/08/android-camscanner-malware.html


2.Android木马xHelper在4个月内感染3.2万个智能设备



Malwarebytes Labs发现新Android木马Dropper.xHelper,自5月份以来,在短短4个月内xHelper已经感染了超过3.2万台智能手机和平板设备。鉴于其快速感染新设备的能力,xHelper是一个需要认真对待的威胁。虽然尚未发现准确的感染载体,但分析显示xHelper托管在美国的IP地址上,其中一个位于纽约,另一个在德克萨斯州达拉斯。可以肯定地说这是针对美国的攻击,研究人员还得出结论这种移动感染正在通过网络重定向传播。由于代码被严重混淆,很难确切地指出xHelper的目标是什么,但研究人员认为其主要功能是接受远程命令,类似于后门。


原文链接:

https://www.bleepingcomputer.com/news/security/android-trojan-infects-tens-of-thousands-of-devices-in-4-months/


3.TrickBot新变种瞄准美国移动运营商



TrickBot新变种正在试图窃取美国移动运营商Verizon、T-Mobile和Sprint用户的PIN码,并发起SIM卡交换攻击。戴尔Secureworks研究团队警告称,该变种利用一个新模块来拦截受感染系统上的网络会话,并在这些运营商的网站上注入代码,用于窃取用户的账户密码、PIN码等凭据。这种欺诈行为允许攻击者控制受害者的电话号码,包括所有入站和出站短信和语音通信。研究人员在8月份观察到这些攻击活动,包括针对Verizon Wireless(8月5日)、T-Mobile(8月12日)和Sprint(8月19日)。


原文链接:

https://www.bleepingcomputer.com/news/security/new-trickbot-variant-targets-verizon-t-mobile-and-sprint-users/


4.法国警方从85万台PC中远程清除恶意AppRETADUP



法国执法机构National Gendarmerie宣布成功捣毁僵尸网络RETADUP,并在Avast的帮助下对全球超过85万台计算机进行了远程杀毒。今年早些时候Avast发现RETADUP的C&C协议中存在一个设计缺陷,可用于从受害者的计算机中删除该恶意App。因此Avast联系了法国警方,并在7月份控制了RETADUP的C&C服务器,替换为一个杀毒版本,该服务器可利用其协议中的缺陷命令受感染计算机上的RETADUP自毁。截至文章发布时,当局已经清除了超过85万个感染实例,其中大多数受害者来自于讲西班牙语的拉丁美洲国家。


原文链接:

https://thehackernews.com/2019/08/retadup-botnet-malware.html


5.全球超过80个电子商务网站感染Magecart脚本



根据周三Aite Group和Arxan Technologies发布的研究成果,全球超过80个电子商务网站遭Magecart脚本入侵,这些网站中有四分之一(25%)属于赛车运动和豪侈品服装的知名品牌。受影响的网站遍布整个美国、加拿大、欧洲、拉丁美洲和亚洲。该研究表明,所有这些网站都运行着Magento电子商务平台的过时版本,包括1.5、1.7或1.9,这些版本易受多个文件上传、远程代码实行和CSRF漏洞影响。


原文链接:

https://threatpost.com/magecart-ecommerce-card-skimming-bonanza/147765/


6.新IoT僵尸网络Ares瞄准Android机顶盒



新IoT僵尸网络Ares正在感染基于Android的设备,根据WootCloud的说法,该僵尸网络最常见的目标是由HiSilicon、Cubetek和QezyMedia制造的Android机顶盒。Ares并未利用Android操作系统中的漏洞,而是利用这些机顶盒中启用了但未受保护的ADB调试服务。这些攻击始于7月,WootCloud首席技术官Srinivas Akella称也不排除其他类型的Android系统受到感染的可能性。Ares的最终目的未知,但由于其基于较老的Mirai,可以预计该僵尸网络将被用于发起DDoS攻击和用作流量代理。


原文链接:

https://www.zdnet.com/article/a-new-iot-botnet-is-infecting-android-based-set-top-boxes/