1. Kimsuky最新攻击活动概述 自2022年11月以来，安天移动威胁情报团队发现了多起冒充Naver客服中心的钓鱼邮件，邮件中包含恶意URL。发件人的用户名是“Naver Center”，邮件主要内容为联系人变更通知、新建一次性号码通知、异地登录通知、邮箱容量超出通知、连接尝试阻止通知等，攻击对象为普通民众。 通过对攻击者使用的域名和钓鱼邮件的攻击手法进行分析，判断此为Kimsuky...

so 文件特征 最新加固特征整理： libnqshield.so/国信灵通 libvenSec.so/启明星辰 libmobisec.so/阿里聚安全 libvenustech.so/启明星辰 libtup.so/腾讯乐固（旧版） libchaosvmp.so/娜迦加固 liblegudb.so/腾讯乐固（旧版） libddog.so/娜迦加固 libshella/腾讯乐固（旧版） lib...

摘要 S2W 的威胁研究和情报中心 Talon 最近发现了三种针对 Android 设备的新型恶意软件。 我们通过在包名称中添加“Fast”和每个包的特征来命名恶意 APKs FastFire、FastViewer和FastSpy 。 通过分析 APK，我们发现这与过去归因于 Kimsuky 组的活动有显着关联。 FastFire恶意软件伪装成谷歌安全插件，FastViewer恶意软件伪装...

分析前提 使用一个有多开功能的 Android 模拟器，是比较的选择，这里选择夜神模拟器。 除此之外，Android Monitor 也是必不可少的。还有就是反编译工具。 Adb 环境： 由于夜神模拟器中的 adb 有所修改，为了统一，可以将 androidkiller 中的 adb 复制覆盖夜 神模拟器中 nox_adb.exe，以及动态库 AdbWinApi.dll 和 AdbWinU...

摘要 Pegasus是由NSO集团开发的间谍软件，大赦国际和CitizenLab反复分析。在本文中，我们剖析了Lookout在本文中最初分析的Android版本，我们建议与这篇文章一起阅读。正如一位研究人员在这里强调的那样，在我们对Android版Pegasus的研究中，我们发现供应商错误地将一些无记录的APK文件归因于Pegasus。由于代码的复杂性和长度，我们将分析分为3部分。我们还试...

关键信息 这个 apk 中的关键信息是，需要激活设备管理器，然后当激活完成后，apk 会黑屏，可以发 现系统被上锁，值系统屏幕锁密码被改。关键的函数有两个，都是激活管理器的函数。 1． LockNow(); 2． resetPassword(); 密码是 6699 卸载 apk 需要取消激活设备管理器。 删除系统文件中密码文件：/data/system/password.key ...

效果 双层密码，安装完成后有运行时解锁密码，重启之后有屏幕锁屏密码 重启之后的 pin 码，在反编译代码中很容易找到，搜 resetPassword 可以。 而安装时出现的美图界面，是不太容易获取到密码的。 思路 当点击按钮解锁时，密码会进行解密，解密函数如果 Hook 加入 smali 代码，打印输 出参数，就可以获得运行时密码！ 分析 第一层密码分析 通过从入口类开始...

介绍 ESET研究人员发现了一个活跃的StrongPity活动，分发了Android Telegram应用程序的木马化版本，该应用程序呈现为Shagle应用程序——一种没有应用程序版本的视频聊天服务 ESET研究人员确定了一项积极的活动，我们将其归因于StrongPity APT集团。该活动自2021年11月以来一直活跃，通过一个冒充Shagle的网站分发了一个恶意应用程序——Shagle...

第三题（Android2.0） 0x01 包体基本分析 拿到题目apk包，发现未加固，直接改后缀解压： 使用jadx-gui 分析一下java层代码，看到只有一个输入框输入密码，并调用 JNI.getResult() 方法进行密码校验，并提示正确或错误。 开始分析JNI类，发现为native调用getResult()函数。观察解压文件发现有lib目录，内部只有一个动态库文件： ...

题目 boomshakalaka-3（play the game, get the highest score？） 0x01 静态分析(java层分析 ) 查看程序没有加固，使用jadx-gui分析java层代码，发现这是一个飞机大战的游戏： 分析界面UI，左下角是自定义TextView，可以不断定位入口点 com.example.plane.FirstTest 程序使用share...