导 读
近年来,Android 设备的安全性受到密切关注,因为已发现数千台此类设备包含隐藏的后门。这些后门不仅危害设备的安全,而且对用户数据和隐私构成重大威胁。
主要亮点:
-
数千台 Android TV 设备被发现预装后门。
-
网络安全公司 Human Security 揭示了问题的严重程度。
-
美国各地的家庭、企业和学校都发现了这种设备。
-
发现与该计划有关的广告欺诈。
-
至少 39 个 Android 和 iOS 应用程序涉及相关广告欺诈操作。
令人不安的发现:
一月份,安全研究员 Daniel Milisic 发现 Android TV 流媒体盒 T95 在出厂时就带有恶意软件。这一发现只是一个更大问题的开始。
问题的严重程度:
网络安全公司 Human Security 深入研究了此事,发现该问题比最初想象的更为普遍。他们的研究显示,七种不同的 Android 电视盒和一台平板电脑预装了这些后门。
令人担忧的是,他们还发现了多达 200 种不同型号的 Android 设备可能受到影响的迹象。这些受损设备已进入美国各地的家庭、企业甚至学校。
欺诈网络:
这些设备中的后门不仅存在安全风险,而且还存在风险。他们是更大的欺诈计划网络的一部分。
Human Security 确定了两个主要关注领域。第一个被称为“Badbox”,涉及受感染的 Android 设备及其参与的各种欺诈活动。第二个被称为“Peachpit”的广告欺诈行为涉及至少 39 个 Android 和 iOS 应用程序。
此次行动规模如此之大,以至于谷歌不得不根据 Human Security 的调查结果删除受影响的应用程序。苹果还采取了行动,解决了多个报告的应用程序中的问题。
深入研究 Badbox:
廉价的 Android 流媒体盒通常售价低于 50 美元,可以在网上和实体店买到。这些盒子通常缺乏品牌,因此很难追踪其来源。
2022 年下半年,Human Security 的研究人员发现了一款 Android 应用程序,该应用程序与链接到 Flyermobi.com 域的可疑流量相关。Milisic 关于 T95 Android 盒子的初步调查结果中也强调了这个领域。
进一步调查证实八台设备存在后门,其中包括七台电视盒和一台平板电脑。令人震惊的是,全球至少有 74,000 台 Android 设备出现了“Badbox”感染的迹象,其中一些甚至在美国学校使用。
参考链接:https://pc-tablet.com/hidden-backdoors-discovered-in-numerous-android-devices-a-deep-dive/
今日安全资讯速递
APT事件
Advanced Persistent Threat
赛门铁克安全研究人员分享了一个新的 APT 组织“Grayling”活动的证据
https://www.infosecurity-magazine.com/news/threat-actor-grayling-espionage/
Microsoft Teams 用作 DARKGATE 恶意软件的初始访问权限
https://www.kroll.com/en/insights/publications/cyber/microsoft-teams-used-as-initial-access-for-darkgate-malware
一般威胁事件
General Threat Incidents
AWS、谷歌、Cloudflare 利用 HTTP/2 快速重置措施缓解攻击者利用零日漏洞发起创纪录的 DDoS 攻击
https://thehackernews.com/2023/10/http2-rapid-reset-zero-day.html
IZ1H9僵尸网络以新的漏洞利用物瞄准物联网设备
https://www.infosecurity-magazine.com/news/iz1h9-botnet-targets-iot-devices/
Webwyrm 恶意软件影响 50 个国家/地区的 100,000 多名用户
https://cybersecuritynews.com/webwyrm-malware-affects-users/
HelloKitty 勒索软件源代码在黑客论坛泄露
https://www.bleepingcomputer.com/news/security/hellokitty-ransomware-source-code-leaked-on-hacking-forum/
Rhysida 勒索软件团伙声称袭击了葡萄牙和多米尼加共和国政府
https://therecord.media/rhysida-ransomware-gang-attacks-on-portugal-dominican-republic-governments
新的 Magecart 活动改变 404 错误页面以窃取购物者的信用卡
https://thehackernews.com/2023/10/new-magecart-campaign-alters-404-error.html
一份新报告显示:儿童性虐待内容和儿童面临的在线风险呈上升趋势
https://thehackernews.com/2023/10/new-report-child-sexual-abuse-content.html
Citrix 设备受到攻击:Netscaler 漏洞被利用来捕获用户凭据
https://thehackernews.com/2023/10/citrix-devices-under-attack-netscaler.html
在众多 Android 设备中发现的隐藏后门
https://pc-tablet.com/hidden-backdoors-discovered-in-numerous-android-devices-a-deep-dive/
漏洞事件
Vulnerability Incidents
为“可能最糟糕”的 cURL 漏洞准备的补丁
https://www.securityweek.com/patches-prepared-for-probably-worst-curl-vulnerability/
cURL 数据传输项目的维护者正在努力修补软件中的两个漏洞,其中包括影响 libcurl 和 curl 的高严重性错误。
cURL 提供了一个库(libcurl)和命令行工具(curl),用于使用 URL 语法传输数据,支持各种网络协议,包括 SSL、TLS、HTTP、FTP、SMTP 等。
这两个漏洞编号为 CVE-2023-38545 和 CVE-2023-38546,研究人员警告说,前者具有“高严重性”评级,可能被认为是开源工具中最严重的漏洞之一。
“我们正在缩短发布周期,并将于 10 月 11 日发布curl 8.4.0,其中包括对严重性高 CVE 和严重性低的修复。评级为“高”的漏洞可能是很长一段时间以来最严重的安全漏洞。”研究人员在一份建议(https://github.com/curl/curl/discussions/12026)中指出。
有关漏洞本身和受影响的curl版本的详细信息尚未披露,但维护者表示“过去几年”发布的所有迭代都容易受到攻击。
该通报是在补丁发布之前发布的,旨在警告组织该漏洞的严重性,以便他们为即将到来的更新做好准备。成员发行版也收到通知,以便他们可以准备补丁。
“如果没有支持合同和充分的理由,没有人会在 10 月 11 日之前获得有关这些问题的详细信息。”curl 的维护人员表示。
“组织应紧急盘点和扫描所有使用curl和libcurl的系统,一旦10月11日发布Curl 8.4.0的细节被披露,就可以识别潜在的易受攻击的版本。发布后立即实施更新对于保护系统免受这些紧迫漏洞的影响至关重要。”Qualys 产品经理 Saeed Abbasi指出。
据curl 维护人员称,该漏洞可能会影响所有依赖libcurl 的项目,尽管某些软件可能以不允许利用的方式使用该漏洞。
扫码关注
会杀毒的单反狗
讲述普通人能听懂的安全故事
原文始发于微信公众号(会杀毒的单反狗):在众多廉价 Android 设备中发现隐藏后门,研究人员披露“可能最糟糕”的cURL 漏洞
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论