概述3月初，西班牙加泰罗尼亚警方破获一起网络金融诈骗案，作案团伙通过Android恶意软件盗取了1100万用户的电话号码，约占西班牙人口的25％，目前四名犯罪嫌疑人已被警方逮捕。该团伙通过名为“FluBot”的Android恶意软件，发送带有恶意软件下载链接短信的方式，发送至少71,000条垃圾短信，感染60,000台设备，其中97％受害用户是西班牙公民。360烽火实验室追踪发现，尽管犯罪嫌疑人已...

阅读全文 »

摘 要2019年全年，360安全大脑共截获移动端新增恶意程序样本约180.9万个，平均每天截获新增手机恶意程序样本约0.5万个。新增恶意程序类型主要为资费消耗，占比46.8%；其次为隐私窃取（41.9%）、远程控制（5.0%）、流氓行为（4.6%）、恶意扣费（1.5%）、欺诈软件（0.1%）。2019年全年，360安全大脑累计为全国手机用户拦截恶意程序攻击约9.5亿次，平均每天拦截手机恶意程...

阅读全文 »

一、背景蔓灵花（APT-C-08）APT组织是一个长期针对中国、巴基斯坦等国家进行攻击活动的APT组织，主要攻击政府、电力和军工行业相关单位，以窃取敏感信息为主，具有强烈的政治背景，是目前活跃的针对境内目标进行攻击的境外APT组织之一。该组织最早在2016被国外安全公司进行了披露，并且命名为“BITTER”，同年360也跟进发布了分析报告，将该组织命名为“蔓灵花”。 迄今为止有数个国内外安全团队持...

阅读全文 »

第一章 背景介绍一、 叙利亚政权介绍阿拉伯叙利亚共和国，通称为叙利亚，位于亚洲西部，地中海东岸，北与土耳其接壤，东同伊拉克交界，南与约旦毗连，西南与黎巴嫩和巴勒斯坦为邻，西与塞浦路斯隔地中海相望，包括戈兰高地，全国总面积为185180平方公里。 叙利亚是世界最古老文明发源地之一，曾历经罗马帝国、阿拉伯帝国和奥斯曼帝国等大国统治。在成为罗马帝国疆域以前曾经经历腓尼基、赫梯、米坦尼王国、亚...

阅读全文 »

第一章 发现“变脸”应用一、 背景近日，360烽火实验室接到一例反馈：用户描述从某应用市场下载了一个记事本应用， 经过一段时间的使用后发现该应用内容变成与贷款相关。图1-1 初次使用时的软件内容图1-2 经过一段时间之后的软件内容随即我们根据用户反馈的内容进行快速跟进，发现该应用具有随机变换界面的功能，且变换后的应用功能已与原应用无关，因此将此应用称为“变脸”应用。二、 应用分类...

阅读全文 »

一、 概述从2015年7月起至今，军刀狮组织（APT-C-38）在中东地区展开了有组织、有计划、针对性的不间断攻击。其攻击平台为Windows和Android，截止目前360烽火实验室（360 Beaconlab）一共捕获了Android平台攻击样本25个，Windows平台攻击样本4个，涉及的C2域名16个。2018年5月，Kaspersky安全厂商发表报告《Who’s who in th...

阅读全文 »

摘 要2018年全年，360互联网安全中心共截获移动端新增恶意软件样本约434.2万个，平均每天新增约1.2万个。全年相比2017年（757.3万个）下降了约42.7%。2018全年移动端新增恶意软件类型主要为资费消耗，占比高达63.2%；其次为隐私窃取（33.7%）、恶意扣费（1.6%）、流氓行为（1.2%）、远程控制（0.3%）。2018全年，360互联网安全中心累计监测移动端恶意软件感...

阅读全文 »

概要电信诈骗自诞生以来并迅速发展蔓延，诈骗手法也随着科技发展不断更新，而随着Android设备的普及，诈骗手法进一步升级，Android木马也开始被应用于电信诈骗，360烽火实验室对此类木马保持着持续的关注，早在2016年就发表了一篇针对网络电信诈骗的报告《深入分析跨平台网络电信诈骗》，深入分析还原了跨平台网络电信诈骗的整个过程。近期，360烽火实验室捕获到了一个针对韩国的跨境网络电信诈骗木马家族...

阅读全文 »

作者：龚广(@oldfresher)

阅读本文之前，您最好理解Android中的Binder机制、用于图形系统的BufferQueue原理、堆管理器je_malloc的基本原理。
此文介绍了如何利用libcutils库中的堆破坏漏洞获得system_server权限，此漏洞是研究Android图形子系统时发现的,对应的CVE号为CVE-2015-1474和CVE-2015-1528。

阅读全文 »

摘要

今年五月中旬,有用户向360安全中心反馈手机经常自动安装新的游戏应用，经过360互联网安全中心分析排查发现用户中的是一个ROM级别的木马。该木马主要通过获取云端指令进行静默安装推广应用，并可以实现自身升级。木马自身支持多达40个命令类型[附录1]，用以辅助实现静默安装推广应用和自身升级。

阅读全文 »