呂守箴(OpenBlue) => 網路攻防戰~資安閒聊群組: 標題：不知名 Android 勒贖軟體潛伏4小時才發作，能避開防毒軟體偵測摘要： Zscale下的ThreatLabZ小組研究人員發現，這隻未命名的Android勒贖軟體來自俄羅斯，專門鎖定知名app執行一系列自動化程序加以感染。它會先反組譯目標app，在其AndroidManifest.xml檔注入必要的指令及Activity/BroadcastReceiver變項、複製圖檔及layout檔，再寫入勒贖軟體的勒贖文字、字串及攻擊程式感染apk，等待受害者上門。不知情的用戶將app下載到行動裝置中後數小時，這隻勒贖軟體會展開看似普通的勒贖過程。這隻惡意程式手法看起來沒什麼了不起，但它有項超越其他勒贖軟體的能力。研究人員指出，它對外連接的C&C伺服器IP位址、電話號碼皆以AES (Advanced Encryption Standard)加密，而且它所注入的字串、方法及變項都被混淆而難以理解，同時大部份方法是以Java映射(Java Reflection)機制呼叫來躲過防毒軟體的狀態分析偵測。引用來源： http://www.ithome.com.tw/news/113242 #58e463e775a70875607d66c4

呂守箴(OpenBlue) says to 網路攻防戰~資安閒聊群組

標題：不知名 Android 勒贖軟體潛伏4小時才發作，能避開防毒軟體偵測摘要： Zscale下的ThreatLabZ小組研究人員發現，這隻未命名的Android勒贖軟體來自俄羅斯，專門鎖定知名app執行一系列自動化程序加以感染。它會先反組譯目標app，在其AndroidManifest.xml檔注入必要的指令及Activity/BroadcastReceiver變項、複製圖檔及layout檔，再寫入勒贖軟體的勒贖文字、字串及攻擊程式感染apk，等待受害者上門。不知情的用戶將app下載到行動裝置中後數小時，這隻勒贖軟體會展開看似普通的勒贖過程。這隻惡意程式手法看起來沒什麼了不起，但它有項超越其他勒贖軟體的能力。研究人員指出，它對外連接的C&C伺服器IP位址、電話號碼皆以AES (Advanced Encryption Standard)加密，而且它所注入的字串、方法及變項都被混淆而難以理解，同時大部份方法是以Java映射(Java Reflection)機制呼叫來躲過防毒軟體的狀態分析偵測。引用來源： http://www.ithome.com.tw/news/113242

at Wed, Apr 5, 2017 11:26 AM