blog.avlyun.com
2014年Android恶意代码发展报告 | AVL Team
http://blog.avlyun.com/2015/02/2137/malware-report
统计近两年每月Android恶意代码数量时发现 每年1、2月的恶意代码传播量均处于低峰 2013年恶意代码传播高峰出现在7、8月,因为当时出现大量利用MasterKey漏洞的恶意代码 2014年恶意代码传播出现了两个高峰 第一个高峰出现在3、4、5月,当时国内某知名应用市场出现了大量捆绑木马,另一个高峰是由于12月爆发了大量恶意色情应用。 恶意刷Google Play榜的 刷榜客 僵尸木马. 2014年,采用Rootkit攻击技术的木马有 长老木马、PoisonCake家族等 Android平台上首个采用Bootkit技术的木马 Oldboot 中文名 不死木马。 转载请注明来源 http:/ blog.avlyun.com/? Trojan/Android.Joybuy.a[prv,pay,sms]. Trojan/Android.kktools.a[rmt,exp]. Trojan/Android.x200portal.a[rmt,prv,spy]. PornWare/Android.sexplayer.af[rog,exp]. 黑产上演 三体 剧情 蠕虫病毒入侵手机群发 钓鱼 短信.
blog.avlyun.com
利用Mono for Android开发的恶意软件 | AVL Team
http://blog.avlyun.com/2015/05/2307/mono-for-android
近期AVL移动安全团队首次发现一款使用Mono for Android开发的恶意APP,该应用除了使用C 语言开发,还加入了Lua环境,可以执行恶意Lua脚本。 Mono for Android由Novell推出,是业界首个使用Microsoft Visual Studio 为Android平台开发Microsoft.Net应用程序的解决方案,该程序利用C#语法能进行开发基于Android和iOS的应用。 Mono for Android 由 Mono内核运行时间、原始 Android应用程序接口绑定,用于开发Android应用程序的Visual Studio插件和一个包含有构建、调试和部署应用程序所需的各种工具的软件开发工具包组成。 Mono for android是一个运行时和开发堆栈,使.net开发人员可以充分利用他们现有的Visual Studio和C#知识为基于Android的设备开发应用程序。 1 在SD卡创建zcore.txt文件,并写入 Set start date time 和当前时间信息,同时也记录在sharedPreferences中的 me 文件中。 发表在 Smali View...
blog.avlyun.com
Remote-controll Trojan with Smack Technique | AVL Team
http://blog.avlyun.com/2015/03/2222/remote-controll-trojan-with-smack-technique
Remote-controll Trojan with Smack Technique. Recently AVL Mobile Security Team found an Android spyware based on XMPP Smack Openfire, The spyware has the following behavior characteristics: 1. – Upload users’ contact information, short messages, phone records, GPS location and date, according to instructions sent by the remote client; 2. Hide its icon; 3. Intercept the specified short messages. After the programme is running, it will first get the accont key:. The data is saved in the xml file. It should...
blog.avlyun.com
提权广告件PermAd分析报告 | AVL Team
http://blog.avlyun.com/2015/04/2228/adware-permad
该应用运行时会联网下载提权应用.perm.apk,.perm.apk被DexClassLoader加载执行后会释放多个文件并提升应用权限。 1 运行后,应用会联网访问http:/ * * /RootsdkUpdate/Index,获取提权应用的最新地址,并下载保存在指定地址。 2 DexClassLoader .perm.apk后反射调用相关方法释放文件并提权。 释放dler.apk文件,更改权限,静默安装应用com.android.service.utc0. 创建一个线程监听,每3.6秒监听进程,若无com.android.service.utc0进程则读取并执行.exeam文件里的am命令启动com.android.service.utc0. 4 执行/system/xbin/.rt bridge写入am命令到/data/local/.exeam文件,添加包的MD5到/data/local/.bridge文件, Socket方式向.rt daemon发送请求。 Permapk释放.catr.apk 实际是ELF文件 ,运行锁定相关文件, 锁定文件后即便卸载应用后也不能删除。
blog.avlyun.com
Android L&M中绕过安全软件证书白名单 | AVL Team
http://blog.avlyun.com/2015/06/2353/android-lm中绕过安全软件证书白名单
1 META-INF文件中同时存在两个签名文件 CERT.DSA和CERT.RSA。 2 该恶意软件在Android 4.x因签名验证失败而无法安装,而Android 5.x以上可以成功安装。 分析得知, CERT.DSA为EA mobile游戏的官方签名,已被部分手机安全软件列入证书白名单,此处是在重打包过程中生成进入APK文件中的。 通常APK的META-INF文件夹里面有三个文件,分别名为MANIFEST.MF、CERT.SF和CERT.RSA/DSA/EC,这些就是使用signapk.jar生成的签名文件。 1 MANIFEST.MF中的各SHA-1值 = SHA-1(除META-INF目录外的文件). 2 CERT.SF中各值 = (SHA-1 Base64)(MANIFEST.MF文件及各子项). 3 CERT.RSA/DSA/EC = 公钥 加密算法信息等. 恶意软件在Android 4.x无法安装,而Android 5.x以上可以成功安装. Android 4.4 API19 java.util.jar. JarVerifier. 黑产上演 三体 剧情 蠕虫病毒入侵手机群发 钓鱼 短信.
blog.avlyun.com
PoisonCake In the ROM(中文版) | AVL Team
http://blog.avlyun.com/2014/12/1932/poisoncake-in-the-rom
PoisonCake In the ROM(中文版). 工具下载地址 https:/ update.avlyun.com/AvlPro/PoisonCakeKiller.apk. AVL移动安全团队对其进行分析后发现,该恶意代码行为与 长老木马三代 较为相似,由于该恶意代码可以完全独立运行,并且实现上和之前的 长老木马三代 有比较大的差异,并且恶意代码作者将其运行释放模块称为 Cake ,所以我们将其命名为 PoisonCake。 PoisonCake运行时,会将自身移植/data/.3q隐藏目录,并后台监控自身进程运行,防止自身进程被终止 其在执行过程中会创建多个目录和文件,主要有: /data/.3q/dm /data/usr 目录 /data/usr/dalvik-cache 目录 /data/usr/plugins 目录 /data/.l1 /data/.l6 /data/.l9 /mnt/sdcard/sysv/lv /mnt/sdcard/sysv/lg1. Dm接受 –setup 参数完成初始化行为. 转载请注明来源 http:/ blog.avlyun.com/? PornWare/An...
blog.avlyun.com
广告件发展现状分析 | AVL Team
http://blog.avlyun.com/2015/01/2079/malicious-adware
2012 年 11 月 28 日,央视 经济信息联播 播出的节目 安卓智能手机广告存隐忧 揭露了手机广告行业存在的一些鲜为人知、但触目惊心的黑幕。 根据艾媒咨询 2013-2014年中国移动广告平台行业观察报告 数据显示,2013年中国移动广告平台市场整体规模为25.9亿元,同比增长144.3%,预计到2018 年的市场规模有望达到 227.1 亿元。 3.1.1 上传用户信息. 3.1.2 其他行为类型. 3)ACCESS COARSE LOCATION 应用会使用此类服务确定您的大概位置。 5)SYSTEM ALERT WINDOW 可在其他程序上显示窗口,有流氓推广的嫌疑。 转载请注明来源 http:/ blog.avlyun.com/? Trojan/Android.Joybuy.a[prv,pay,sms]. Trojan/Android.kktools.a[rmt,exp]. Trojan/Android.x200portal.a[rmt,prv,spy]. PornWare/Android.sexplayer.af[rog,exp]. 黑产上演 三体 剧情 蠕虫病毒入侵手机群发 钓鱼 短信.
avlsec.com
AVL Insight | 全球最佳移动反病毒引擎 | 武汉安天, Antiy, AVL反病毒引擎, AVL SDK, AVL Pro, AV-Test最佳
http://www.avlsec.com/product/insight
avlsec.com
公司介绍 | 全球最佳移动反病毒引擎 | Antiy, 武汉安天, AVL反病毒引擎, AVL SDK, AVL Pro
http://www.avlsec.com/about/company
武汉安天自主研发的 AVL 移动反病毒引擎以全年最高平均检出率获德国独立测试机构 AV-TEST 2013年移动设备最佳防护 奖项,实现中国安全厂商在全球顶级安全测评领域重量级奖项零的突破。 在国际知名测评机构AV-C AV-Comparatives 的2015年度移动安全产品首次测评中,AVL 移动反病毒引擎以100%的病毒检出率荣获全球第一。 AVL 移动反病毒引擎开发包 AVL SDK Open 上线.
blog.avlyun.com
病毒播报 | AVL Team
http://blog.avlyun.com/category/virus
恶意软件伪装 正规军 ,撕开Booster Cleaner 画皮 下的真相. 黑产上演 三体 剧情 蠕虫病毒入侵手机群发 钓鱼 短信. 我是这个世界的一个和平主义者,我首先收到信息是你们文明的幸运,警告你们 不要回答 不要回答 不要回答 […]. 最近,一款名为 Pokemon Go 又名 口袋妖怪GO 的手机游戏火爆全球,但由于 […]. 高能预警 丹麦 支付宝 MobilePay被盯上了. 移动支付应用的发展不断地便捷人们的日常生活 购物不用再出门,上某宝就 购 了 朋友间转账更便捷,点点手指就 […]. 假借知名应用植入恶意模块,披着羊皮的 狼 来了 WarThunder远程控制木马预警. 前言 Macbeth,又名麦克白, 莎士比亚四大悲剧中 麦克白 主人公, […]. 最近,安天AVL移动安全和猎豹移动安全实验室共同截获病毒 僵尸之手 一种伪装成正常应用,并通过远程指令控制 […]. 恶意木马病毒横行,您的钱包还hold得住吗 猎豹移动安全实验室与安天AVL移动安全团队于2015年下半年,共同 […]. Trojan/Android.Joybuy.a[prv,pay,sms].