警惕另类Activity“劫持”

最新推荐文章于 2019-04-26 17:35:42 发布
最新推荐文章于 2019-04-26 17:35:42 发布
阅读量538 收藏 1
点赞数
分类专栏: Android开发
一种新型木马通过Activity劫持手段诱骗用户安装并防止卸载,同时还发送扣费短信及上传用户隐私。木马利用改变Activity布局层次的方式进行静默安装和激活设备管理器。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

AVL移动安全团队最近发现一类木马私自发送扣费短信,上传用户隐私到控制服务器,并且采用了一种Activity劫持手段诱骗用户安装和防止卸载,给用户手机安全带来威胁。

诱骗安装

木马被安装后,监听重启,锁屏等消息,并自动触发联网下载恶意APK文件:

10CC3B82-53B0-42A8-BEDE-76B6FD3F7364

当下载完成,会触发安装管理器,但此时显示的却是一个伪造的“协议申明”,并骗取用户点击,当用户误点击取消后,木马应用就被安装在用户手机上了。

90E5BB6D-2CD6-4555-B38D-566A8A23DFC8E1F2D7C2-9919-4768-882F-1B60E2540BB1

接着,木马会再次尝试激活设备管理器,并且同样伪造一个界面骗取用户点击,从窗体层次来看,此时顶层的Activity为设备管理器,所以当用户点击确认时,实际上完成了设备管理器的激活操作:

02715F59-A20A-46DA-8E4F-77FE9C51AB75259A4921-F5E6-404C-8026-62549E5EFABE

防止卸载

当用户尝试从设备管理器取消激活木马应用时,木马会弹出“设备管理器异常”的提示,并且阻止用户点击退回或者返回桌面,导致只能重启手机:

8014C780-24BE-445F-9A11-A458C87270AC4223EEE1-E617-4DAE-9AA0-DE54C53204F0

木马小结

该木马通过改变当前Top Activity的layout层次,而不是通过覆盖一个伪造的Activity,这是因为木马需要诱骗用户点击执行静默安装和激活设备管理器操作。这种通过修改Activity layout层次实现覆盖效果的行为,还能够更改原始Activity组件对用户点击的默认响应行为。

95476390-8B1F-4A5C-8CE8-348C71472F2F

用户可以下载AVL Pro对上述木马进行查杀。

Android安全风险与防范措施--Activity劫持
weixin_56945835的博客
04-14 1899
Activity劫持风险与防范措施 在Android系统问世不久,曾发生过这样的事情,用户在正常输入用户名、密码的情况,账密信息缺被盗的情况,why? 我们在使用银行类app时,只要我们的银行app客户端退至后台,为啥总会提示一下我们,“***已退至后台”的字样,why? 今天我们就一起来聊聊 activity劫持的那些事。 Activity是我们构建app应用的基本页面,而android app activity页面的管理,是通过栈 来管理的。而在activity 启动时,“FLAG_ACTIVITY_
Android静态安全检查(五):Activity劫持
不忘初心的专栏
07-08 3834
什么是Activity劫持一般情况下分为两种第一种是,手机里面安装了恶意程序,恶意程序会注册一个Receiver,响应android.intent.action.BOOT_COMPLETED事件,这个Service会启动一个定时器,不停的循环查询当前运行的进程。一旦当前的进程正是我们要劫持的,并运行在前台,立马使用FLAG_ACTIVITY_NEW_TASK启动自己的恶意应用界面处于栈顶,用户看到...
Activity劫持实例与防护手段
知识搬运工,资料任你拿,包括书籍、电影、电视剧、网站、软件等,VX公人人人号:向前书局
09-28 4071
原文地址:http://blog.chinaunix.net/uid-29170659-id-4930737.html  (本文只用于学习技术,提高大家警觉,切勿用于非法用途!) 什么叫Activity劫持 这里举一个例子。用户打开安卓手机上的某一应用,进入到登陆页面,这时,恶意软件侦测到用户的这一动作,立即弹出一个与该应用 界面相同的Activity,覆盖掉了
Android 防止一个控件被过快重复点击
知识搬运工,资料任你拿,包括书籍、电影、电视剧、网站、软件等,VX公人人人号:向前书局
07-14 1187
在android开发中,为防止用户过快点击,而我们的数据并没有及时响应的情况时,我们需要确保用户的有效点击,即在有效时间内只记下用户的一次点击事件   [java] view plain copy private boolean processFlag = true; //默认可以点击    //b_next 那个被点击的控件  
Android之Activity界面劫持劫持
热门推荐
LVXIANGAN的专栏
02-09 2万+
总结: Activity劫持原理1、注册一个receiver,响应android.intent.action.BOOT_COMPLETED,使得开机启动一个service;这个service,会启动一个计时器,不停循环查询所有当前运行的进程(因为app可以枚举系统当前运行进程而无需声明其他权限) 2、一旦发现当前某一进程的Activity正是我们想要劫持的,并运行在前台,我们立马使用FLAG_A...
activity劫持学习与复现
九天
04-14 4862
前言 activity劫持是指当程序运行时,恶意程序检测到前台运行的正是想要劫持的程序,于是立即启动自己的活动,伪造一个一模一样的登录界面并立马呈现给用户,普通用户无法识别这个页面的真实性,于是恶意程序就可以获取到用户输入的敏感信息并上传到自己的服务器。 activity劫持原理 1、在启动activity的时候,加入标志位FLAG_ACTIVITY_NEW_TA
安卓activity劫持
ONS_cukuyo的博客
12-19 2157
  安卓activity劫持演示demo,包含指定activity位于前台时的劫持和指定进程位于前台时的劫持 参考:https://blog.youkuaiyun.com/LVXIANGAN/article/details/79299005 根据上面的参考博客写了这个,增加了劫持指定activactivity的功能以及停止的功能 Github 进程位于前台时   当指定activity位于前...
劫持Activity
jackzhouyu的专栏
12-01 1561
Activity劫持概念: 我们登陆正常的APP界面时,被恶意程序监听到,模仿正常界面启动我们的Activity;例如我们支付界面被劫持后,恶意软件启动自己的Activity来模仿支付界面,诱使你输入账号和密码;从而达到劫持效果 劫持核心代码原理: 1. 读取当前运行的app进程,判断在前端显示并且其他属性,得到劫持的app后启动自己模仿的activity即可 2. 定周期的执行该
Android安全检查之Activity劫持检测
小马总的博客
04-26 2908
处理检测app进去后台的时候提示用户 也就是在onPause的时候 /** * Is foreground boolean. * * @param context the context * @return the boolean */ /*判断应用是否在前台*/ public static boolean isForegrou...
activity劫持
03-04
总结来说,Activity劫持是Android应用面临的重要安全威胁,开发者和用户都需要对此保持警惕。通过加强权限管理、代码安全设计以及用户教育,可以有效地降低被劫持的风险。同时,随着技术的发展,攻击手段也在不断...
Activity_Hijack.apk
04-19
安全建议:Activity劫持通常依靠注册Receiver响应android.intent.action.BOOT_COMPLETED事件。客户端程序可以在启动前检查Receiver并报警;由于Activity界面劫持攻击通常是将自己的页面附着在客户端之上,因此需要...
jfoenix-1.8.0.jar中文文档.zip
08-09
1、压缩文件中包含: 中文文档、jar包下载地址、Maven依赖、Gradle依赖、源代码下载地址。 2、使用方法: 解压最外层zip,再解压其中的zip包,双击 【index.html】 文件,即可用浏览器打开、进行查看。 3、特殊说明: (1)本文档为人性化翻译,精心制作,请放心使用; (2)只翻译了该翻译的内容,如:注释、说明、描述、用法讲解 等; (3)不该翻译的内容保持原样,如:类名、方法名、包名、类型、关键字、代码 等。 4、温馨提示: (1)为了防止解压后路径太长导致浏览器无法打开,推荐在解压时选择“解压到当前文件夹”(放心,自带文件夹,文件不会散落一地); (2)有时,一套Java组件会有多个jar,所以在下载前,请仔细阅读本篇描述,以确保这就是你需要的文件。 5、本文件关键字: jar中文文档.zip,java,jar包,Maven,第三方jar包,组件,开源组件,第三方组件,Gradle,中文API文档,手册,开发手册,使用手册,参考手册。
elasticsearch-6.6.2.jar中文文档.zip
08-09
1、压缩文件中包含: 中文文档、jar包下载地址、Maven依赖、Gradle依赖、源代码下载地址。 2、使用方法: 解压最外层zip,再解压其中的zip包,双击 【index.html】 文件,即可用浏览器打开、进行查看。 3、特殊说明: (1)本文档为人性化翻译,精心制作,请放心使用; (2)只翻译了该翻译的内容,如:注释、说明、描述、用法讲解 等; (3)不该翻译的内容保持原样,如:类名、方法名、包名、类型、关键字、代码 等。 4、温馨提示: (1)为了防止解压后路径太长导致浏览器无法打开,推荐在解压时选择“解压到当前文件夹”(放心,自带文件夹,文件不会散落一地); (2)有时,一套Java组件会有多个jar,所以在下载前,请仔细阅读本篇描述,以确保这就是你需要的文件。 5、本文件关键字: jar中文文档.zip,java,jar包,Maven,第三方jar包,组件,开源组件,第三方组件,Gradle,中文API文档,手册,开发手册,使用手册,参考手册。
基于Qt C++开发的仿WPS界面的PDF阅读器,支持PDF预览编辑、OFD格式阅读及多种功能定制,跨平台操作且界面精美,工具栏可定制调整。 · 跨平台开发
08-09
使用Qt C++开发的一款多平台PDF阅读器,重点描述了其主要功能和技术难点。该阅读器不仅支持常见的PDF预览、缩放、目录导航等功能,还特别实现了对OFD格式的支持以及仿WPS样式的界面设计。文中深入探讨了几个关键的技术细节,如PDF解析、文本选择、目录解析、皮肤系统的实现方法及其遇到的问题和解决方案。此外,作者分享了一些开发过程中遇到的具体问题,如坐标系转换、文本乱序存储、跨平台适配等,并提供了相应的解决思路。 适合人群:具有一定Qt C++开发经验的软件工程师,尤其是对PDF阅读器开发感兴趣的开发者。 使用场景及目标:适用于希望深入了解PDF阅读器内部机制及其实现细节的研发人员,旨在帮助他们掌握相关技术和解决问题的方法。 其他说明:文中提到的部分代码片段展示了具体的功能实现,为读者提供了宝贵的参考资料。同时,作者也表达了对未来进一步优化和完善该项目的想法,如支持更多格式和改进现有功能。
基于S7-200Smart PLC的恒压供水系统及485通讯技术实践 v2.5
08-09
使用西门子S7-200Smart PLC构建恒压供水系统的具体方法和技术细节。主要内容包括:PID闭环控制实现稳定水压调节;三台水泵循环启停逻辑设计避免水锤效应;RS485通信接口配置实现与上位机的数据交互。文中不仅提供了完整的程序代码示例,还分享了许多来自实际项目中的宝贵经验和常见错误预防措施,如模拟量信号滤波、正确设置通信参数等。 适合人群:从事自动化控制系统开发的技术人员,特别是对PLC编程和工业网络通信感兴趣的工程师。 使用场景及目标:帮助读者掌握利用S7-200Smart PLC搭建高效稳定的恒压供水解决方案的方法;理解并能够实施PID控制算法优化供水效率;学会配置RS485通信完成远程监控和数据采集任务。 其他说明:作者强调了工程实践中的一些重要注意事项,如确保硬件连接的安全性和可靠性,以及软件层面的有效防护机制。同时提醒开发者关注基本功能的完善而非追求复杂的功能堆砌。
永磁同步风力发电机并网逆变器设计与最佳叶尖速比法实现波形优化
08-09
永磁同步风力发电机并网逆变器的设计及其关键技术和实现方法。首先,文章阐述了风力发电在当前能源转型中的重要地位,并重点讨论了采用最佳叶尖速比法的风机并网运行方式。其次,文章介绍了所使用的设备和技术参数,如PMSG发电机和双PWM变流器。接着,文章详细描述了逆变器设计的特点,包括可靠的仿真运行、高质量的波形输出、整流侧的id=0控制策略以及有功无功的独立控制。最后,文章讨论了关键技术的实现,如双PWM变流器技术、最佳叶尖速比法的应用、整流侧控制策略和有功无功控制策略的配合。 适合人群:从事风力发电研究的技术人员、电气工程师及相关领域的研究人员。 使用场景及目标:适用于希望深入了解永磁同步风力发电机并网逆变器设计原理和技术细节的专业人士,旨在提升风力发电系统的效率和可靠性。 其他说明:文章强调了未来逆变器设计的发展趋势,即更加智能化和高效化,为绿色能源发展提供技术支持。
企业微信SDK, Python企业微信机器人SDK, Python企业微信WebApi接口
08-09
资源下载链接为: https://pan.quark.cn/s/6c3a522b2062 企业微信SDK, Python企业微信机器人SDK, Python企业微信WebApi接口(最新、最全版本!打开链接下载即可用!)
RA4M2-MINI开发(9)-定时器GPT配置输入捕获
08-09
RA4M2_MINI开发(9)----定时器GPT配置输入捕获 优快云文字教程:https://coremaker.blog.youkuaiyun.com/article/details/149942865 B站教学视频:https://www.bilibili.com/video/BV1588qzpE62/ 概述 本文将探讨如何在 Renesas RA 系列微控制器上使用 GPT(通用定时器)模块来配置输入捕获功能。输入捕获是定时器的一项重要功能,它允许我们捕获外部信号(如脉冲或波形)的时间戳,广泛应用于频率计数、脉冲宽度测量以及其他需要精确时间记录的应用。 硬件准备 首先需要准备一个开发板,这里我准备的是自己绘制的开发板,需要的可以进行申请。 主控为R7FA4M2AD3CFL
【弹性材料】基于matlab多孔弹性材料中传播的波膨胀法【含Matlab源码 13885期】.zip
最新发布
08-09
Matlab领域上传的视频是由对应的完整代码运行得来的,完整代码皆可运行,亲测可用,适合小白; 1、从视频里可见完整代码的内容 主函数:main.m; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开main.m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主; 4.1 博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值