介绍 某安全团队捕获Donot组织大量的移动端恶意app，这些app有伪装成系统工具的，也有伪装成应用市场、游戏、新闻等各种类型的app。Donot组织的恶意app运行后会对手机进行远程控制，窃取目标手机的机密信息。 背景 Donot Team APT组织(APT-C-35)是一个疑似具有南亚某国政府背景的APT组织，该组织持续针对巴基斯坦国家进行APT攻击。该组织的攻击活动最早可追溯到...

so 文件特征 最新加固特征整理： libnqshield.so/国信灵通 libvenSec.so/启明星辰 libmobisec.so/阿里聚安全 libvenustech.so/启明星辰 libtup.so/腾讯乐固（旧版） libchaosvmp.so/娜迦加固 liblegudb.so/腾讯乐固（旧版） libddog.so/娜迦加固 libshella/腾讯乐固（旧版） lib...

概述 ESET 研究人员最近在 APT-C-50 组织发起的 Domestic Kitten 活动中发现了新版本的 Android 恶意软件 FurBall。众所周知，Domestic Kitten 活动对伊朗公民进行移动监视行动，而这个新的 FurBall 版本在其目标上没有什么不同。自 2021 年 6 月以来，它一直作为翻译应用程序通过一个提供翻译文章、期刊和书籍的伊朗网站的山寨版进...

摘要 S2W 的威胁研究和情报中心 Talon 最近发现了三种针对 Android 设备的新型恶意软件。 我们通过在包名称中添加“Fast”和每个包的特征来命名恶意 APKs FastFire、FastViewer和FastSpy 。 通过分析 APK，我们发现这与过去归因于 Kimsuky 组的活动有显着关联。 FastFire恶意软件伪装成谷歌安全插件，FastViewer恶意软件伪装...

摘要 Pegasus是由NSO集团开发的间谍软件，大赦国际和CitizenLab反复分析。在本文中，我们剖析了Lookout在本文中最初分析的Android版本，我们建议与这篇文章一起阅读。正如一位研究人员在这里强调的那样，在我们对Android版Pegasus的研究中，我们发现供应商错误地将一些无记录的APK文件归因于Pegasus。由于代码的复杂性和长度，我们将分析分为3部分。我们还试...

后果 此活动中使用的恶意应用程序会泄露来自Signal、Viber和Telegram等应用程序的联系人、短信、录音电话，甚至聊天消息 ESET研究人员已经确定了一项针对Android用户的积极活动，该活动由Bahamut APT小组进行。该活动自2022年1月以来一直活跃，恶意应用程序通过一个虚假的SecureVPN网站分发，该网站仅提供Android应用程序可供下载。请注意，尽管整个活动...

介绍 ESET研究人员发现了一个活跃的StrongPity活动，分发了Android Telegram应用程序的木马化版本，该应用程序呈现为Shagle应用程序——一种没有应用程序版本的视频聊天服务 ESET研究人员确定了一项积极的活动，我们将其归因于StrongPity APT集团。该活动自2021年11月以来一直活跃，通过一个冒充Shagle的网站分发了一个恶意应用程序——Shagle...

1. Kimsuky最新攻击活动概述 自2022年11月以来，安天移动威胁情报团队发现了多起冒充Naver客服中心的钓鱼邮件，邮件中包含恶意URL。发件人的用户名是“Naver Center”，邮件主要内容为联系人变更通知、新建一次性号码通知、异地登录通知、邮箱容量超出通知、连接尝试阻止通知等，攻击对象为普通民众。 通过对攻击者使用的域名和钓鱼邮件的攻击手法进行分析，判断此为Kimsuky...

效果 双层密码，安装完成后有运行时解锁密码，重启之后有屏幕锁屏密码 重启之后的 pin 码，在反编译代码中很容易找到，搜 resetPassword 可以。 而安装时出现的美图界面，是不太容易获取到密码的。 思路 当点击按钮解锁时，密码会进行解密，解密函数如果 Hook 加入 smali 代码，打印输 出参数，就可以获得运行时密码！ 分析 第一层密码分析 通过从入口类开始...

关键信息 这个 apk 中的关键信息是，需要激活设备管理器，然后当激活完成后，apk 会黑屏，可以发 现系统被上锁，值系统屏幕锁密码被改。关键的函数有两个，都是激活管理器的函数。 1． LockNow(); 2． resetPassword(); 密码是 6699 卸载 apk 需要取消激活设备管理器。 删除系统文件中密码文件：/data/system/password.key ...