一周时讯

本期安全时讯包括：研究人员发现AndroRAT的新变种；Mirai变种OMG可将物联网设备变成代理服务器；德国电信公司曝出SIM卡劫持漏洞；安卓9.0将禁止后台应用调用摄像头和麦克风权限；AV-TEST评选2018年1月安卓平台最佳防病毒软件；人民日报三问区块链：技术还不成熟 要警惕概念炒作；国外安全厂商发布2017年安卓勒索软件报告。

研究人员发现AndroRAT的新变种（更多解析可见文末#一周技评# 版块）

近日趋势科技检测到 Android Remote Access Tool（AndroRAT）的一个最新变种，该病毒被伪装成名为“TrashCleaner”的应用程序，并通过恶意URL分发。研究人员已将其标识为 ANDROIDOS_ANDRORAT.HRXC，其能够利用漏洞CVE-2015-1805获取root权限，然后执行恶意攻击任务，如静默安装（silent installation）、shell命令执行、WiFi密码收集和屏幕截图。

详情链接：

http://securityaffairs.co/wordpress/69047/malware/androrat-new-variant.html

Mirai变种OMG可将物联网设备变成代理服务器

近日FortiGuard实验室发现了一款新的Mirai变种OMG，其可以将IoT设备转变为代理服务器，并通过将这些服务器的访问权限出售给其他网络犯罪分子来牟利。报告称，这是目前首次发现Mirai变种在存在漏洞的IoT设备上同时提供DDOS攻击功能以及代理服务功能。伴随着这种趋势，研究人员预测将来会有越来越多的Mirai变种僵尸程序会出现新的变现方式。

详情链接：

https://www.anquanke.com/post/id/99069

德国电信公司曝出SIM卡劫持漏洞

德国电信公司的子公司T-Mobile曝出SIM卡劫持漏洞，攻击者利用此漏洞可以访问一些客户的数据，包括电子邮件地址、账号以及手机的IMSI号码。这类信息可能会被黑客用于社交工程攻击，将给T-Mobile的客户带来巨大的安全威胁。 

详情链接：

http://securityaffairs.co/wordpress/69279/hacking/sim-hijacking-t-mobile.html

安卓9.0将禁止后台应用调用摄像头和麦克风权限

目前，由于安卓系统权限管理机制不够完善，黑客可以在用户不知情的情况下，通过获取麦克风、摄像头等权限窃取用户隐私信息。而为了改变这一现状，安卓9.0将禁止空闲后台应用访问智能手机的相机或麦克风。用户和开发者将能够在今年五月测试Android 9.0，而稳定版本预计将在8月底到9月初发布。

详情链接：

http://www.freebuf.com/news/163240.html

AV-TEST评选2018年1月安卓平台最佳防病毒软件

近期国际独立反病毒测试机构AV-TEST对Android杀毒软件进行了性能测试，结果显示，仅有来自安天、赛门铁克、趋势科技等9款安全产品获得最高评价，取得常规病毒查杀率100%和实时病毒查杀率100%的良好成绩。此外在Android设备上提供，用于保护设备免受从Google Play商店下载的应用程序中的恶意软件攻击的Google Play保护功能，其得分较低，在实际测试中获得的检测率仅为62.9%。

详情链接：

https://www.cnbeta.com/articles/soft/700309.htm

人民日报三问区块链：技术还不成熟 要警惕概念炒作

《人民日报》载文中称区块链是一种去中心化的分布式账本数据库，没有中心，数据存储的每个节点都会同步复制整个账本，信息透明难以篡改；其能解决金融、公益、监管、打假等很多领域的痛点难点，但有不少适用条件；目前区块链技术还不太成熟，要警惕概念炒作，特别要区分是技术创新还是集资创新，不能为了区块链而区块链。

详情链接：

http://economy.china.com/domestic/11173294/20180226/32129193.html

国外安全厂商发布2017年安卓勒索软件报告

近日安全厂商ESET发布2017年安卓平台勒索软件报告，报告指出滥用Android的辅助功能服务是2017年Android勒索软件场景中最狡猾的补充之一，如DoubleLocker；总体而言，Android勒索软件并没有延续过去几年的持续增长，在2016年事件数量急剧上升并在当年上半年达到高峰后，勒索软件数量出现缓慢增长，但是这种下降可能只是暂时的，在2017年底前会出现一些Android勒索软件检测峰值。

详情链接：

https://www.welivesecurity.com/2018/02/15/android-ransomware-2017/

一周技评

针对近日报道的“研究人员发现AndroRAT的新变种”一则资讯，小编邀请安天移动安全技术专家就该新变种的恶意行为、技术特点以及威胁防护进行点评，详情如下。

1、AndroRAT的新变种有哪些恶意行为？

AndroRAT最初是一个大学安全研究项目，作为开源应用程序设计，用于远程控制设备。AndroRAT的新变种包含系统提权功能，伪装成一款垃圾清理软件，启动后隐藏自身图标，后台运行，能以root权限执行恶意操作。其可以窃取用户短信、通话记录、网页浏览记录、安装应用信息列表、WiFi密码等数据，远程控制手机删除伪造短信、截屏与前置摄像头拍照图片上传、远程shell命令执行、开启辅助功能记录键盘输入密码等。

2、AndroRAT的新变种如何实现系统提权？

AndroRAT的新变种利用android内核漏洞CVE-2015-1805进行系统提权，该漏洞影响所有内核版本为3.4, 3.10和3.14未打补丁的Android设备。CVE-2015-1805漏洞存在于linux内核3.16版本前的fs/pipe.c文件中，由于pipe_read和pipe_write两个函数在拷贝数据发生异常重新开始拷贝时，拷贝的起始指针发生了改变而拷贝的总长度未改变，多拷贝了数据，造成数组越界。将payload结构定义在通过验证的数组后，让它成为__put_user等函数的目的地址将数据复制到要写入的内核地址，以root权限执行任意代码实现系统提权。

3、AndroRAT的新变种有哪些威胁，应该如何防护？

AndroRAT的新变种具有提权功能，伪装成正常应用，一旦在手机上安装运行并成功提权，在用户无感知的情况下窃取用户隐私数据，远程控制用户的手机，造成用户隐私泄露与财产损失。

安全防护建议：

请从正规的应用市场下载应用，不要在不知名网站、论坛、应用市场下载应用

建议及时更新手机系统，修复系统漏洞

建议在手机中至少安装一款杀毒软件，同时保持定期扫描的习惯

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！