随笔分类 - android安全
摘要:1病毒名称:a.remote.GingerMaste中文名:病毒家族:GingerMast病毒类别:远程控制恶意行为:获取root权限,同时连接远端服务器,在其指令控制下静默下载其它恶意软件,给用户手机带来持续的威胁。2病毒名称:a.expense.Faker91.a中文名:资费黑手病毒家族:Faker91病毒类别:恶意扣费,隐私窃取,恶意行为:在后台频繁发送彩信和短信;同时获取用户手机上安装包的信息,手机的IMEI、IMSI、MAC及手机号码等信息上传到网络;删除用户的通话记录,私自在后台频繁联网,不仅给用户手机带来安全危害,更有可能造成严重的资费损失3病毒名称:a.payment.Umen
阅读全文
摘要:android.os.Build.BRAND:获取设备品牌如果获取的Landroid/os/Build;->BRAND的值为 "generic"则为模拟器上运行。android.os.Build.MODEL :获取手机的型号 设备名称。如果发现Landroid/os/Build;->MODEL为"sdk",则为模拟器上运行。代码示例: 1 const-string v0, "phone" 2 3 invoke-virtual {p0, v0}, Lcom/xxx/LoadingActivity;->getSystem
阅读全文
摘要:一、漏洞描述 近期,微信等多款安卓流行应用曝出高危挂马漏洞:只要点击好友消息或朋友圈中的一条网址,手机就会自动执行黑客指令,出现被安装恶意扣费软件、向好友 发送欺诈短信、通讯录和短信被窃取等严重后果。在乌云漏洞平台上,包括安卓版微信、QQ、腾讯微博、QQ浏览器、快播、百度浏览器、金山浏览器等大批应用 均被曝光同类型漏洞。 二、影响版本 Android系统版本低于4.2三、漏洞原理 漏洞点:WebView.addJavascriptInterface(Object obj, String interfaceName) ; 漏洞触发条件: 1、使用WebView.addJavascrip...
阅读全文
摘要:一、漏洞描述 目前被称为“史上最强Android木马”的病毒Backdoor.AndroidOS.Obad.a利用Android设备管理器漏洞使用户无法通过正常方式卸载。其实该漏洞早在去年底已被发现。(http://www.anguanjia.com/?c=news_view&id=435) 注册为“设备管理器”的应用是无法被直接卸载的。只有取消激活“设备管理器”后才可以直接卸载。 木马可以利用Android设备管理器漏洞达到在设备管理器列表“隐身”的效果。这样用户就无法进去“取消激活”页面,从而达到无法卸载的目的。二、影响版本 android2.2及以上三、漏洞原理 首...
阅读全文
摘要:Android apk签名的过程1、生成MANIFEST.MF文件:程序遍历update.apk包中的所有文件(entry),对非文件夹非签名文件的文件,逐个生成SHA1的数字签名信息,再用Base64进行编码。具体代码见这个方法:private static Manifest addDigestsToManifest(JarFile jar)关键代码如下: 1 for (JarEntry entry: byName.values()) { 2 String name = entry.getName(); 3 if (!entry.isDirectory() && !name.
阅读全文
摘要:漏洞原理: 安卓浏览器内核有这样一个机制,当网页内嵌入了一个特定格式的字符串,就可以被识别为一个电话号码通过点击该字符串的方式拨打电话。但是没有对*#06#等具有特殊功能的拨号组合进行限制,由于很多厂商会使用一些类似这样的特殊号码组合来擦除手机数据,所以一旦有问题的手机执行了该拨号组合,就会导致手机数据被擦除。
阅读全文
摘要:poc实际上就是一段漏洞利用代码,以下是最近炒得很火Android签名验证漏洞POC,来自https://gist.github.com/poliva/36b0795ab79ad6f14fd8 1 #!/bin/bash 2 # PoC for Android bug 8219321 by @pof 3 # +info: https://jira.cyanogenmod.org/browse/CYAN-1602 4 if [ -z $1 ]; then echo "Usage: $0 " ; exit 1 ; fi 5 APK=$1 6 rm -r out out.apk
阅读全文
摘要:Bluebox Security在7月3号的时候,在官网上发布了一个据称99% Android机器都有的一个漏洞。国内最早在4号开始有媒体报道,并持续升温。该漏洞可使攻击者在不更改Android应用程序的开发者签名的情况下,对APK代码进行修改。并且,这个漏洞涉及到从1.6版本至今全部的Android版本,换句话说,这4年中生产的9亿设备,即当今市场上99%的Android产品都面临这一问题。看到这样的报道,一开始我和我的小伙伴们都不敢相信。因为签名机制用了这么多年,多少大脑袋厚眼镜的天才们想要颠覆都没搞定,Bluebox Security怎么可能搞定的呢?不过,由于好奇心驱使,我开始查看Bl
阅读全文
摘要:libinject是一个Android进程注入实例,其下载地址为:http://download.csdn.net/download/ljhzbljhzb/3680780 libinject的编译需要NDK开发环境,在NDK安装成功之后,可以先将其自带的实例中的HelloJni导入到eclipse中,编译运行,如果出现“Hello from Jni”则表明系统环境配置成功。 libinject包中总共有三个文件inject.c、inject.h、shellcode.s,我们将inject.c和shellcode.s复制到HelloJni工程的jni文件夹下,将inject.h改名为co...
阅读全文
摘要:移动互联网恶意代码采用分段式格式命名,前四段为必选项,使用英文(不区分大小写)或数字标识;第五段起为扩展字段,扩展字段为可选项,内容使用中括号“[]”标识,主要用于标识其它重要信息或中文通用名称,扩展字段可增加多个。 受影响操作系统编码.恶意代码属性主分类编码.恶意代码名称.变种名称.[扩展字段] Android的操作系统编码为a,如a.rogue.kuaidian360.a 移动互联网恶意代码属性主分类编码如下: 编码属性主分类payment恶意扣费privacy隐私窃取remote远程控制spread恶意传播expense资费消耗system系统破坏fraud诱骗欺诈rogue...
阅读全文
摘要:最近搞了几个apk的破解,主要是对smali代码的修改,看上去挺简单的,但是实际动手,却不是那么回事了。 一开始是寻找关键位置,当然是采用加Log的办法了,加入以下Log: const-string v0, "SMS" invoke-static {v0, v1}, Landroid/u...
阅读全文