指掌易 -尊龙凯时注册

卡巴斯基实验室近日发现一款功能强大的android木马“loapi”，它几乎具备了现今已知的所有攻击手段，可利用被感染的设备挖掘加密货币、发起ddos攻击，甚至短期内对手机造成不可逆的物理损坏：2天内即导致电池膨胀。loapi伪装成20多款不同的杀毒和色情app诱骗用户，并根据app特性伪装使用界面以欺骗用户。同时，其具备强大的自我保护机制，消耗巨量设备资源挖掘monero（门罗币）。目前尚不明确loapi具体感染的用户设备数量。

内含loapi的app应用

受感染2天即因疯狂“挖矿”而膨胀损坏的电池

#勒索、挖矿、盗取数据，防不胜防。保护个人和企业移动设备、数据安全的形势原来越严峻。#

近日，安全人员分析新出现的恶意软件“gnatspy”时发现，其可能出自臭名昭著的威胁组织apt-c-23（双尾蝎）。gnatspy正是双尾蝎常用的恶意软件“lamp”的变种，但比lamp更危险。gnatspy针对android 7.0以前的系统，以盗取设备敏感数据为目标，包括联系人、通话记录、图片、短信、sim卡状态、电池、存储的使用情况等。其攻击的目的性非常明确，仅限于特定的组织和个人。

#保护企业数据免遭间谍软件侵袭，企业需要部署先进的移动安全管理工具，在网络环境、手机系统、设备功能、应用管理、数据安全准入等多方面、多层次保全企业和重要员工的智能设备数据。#

近日，一款新型android恶意软件 catelitesbot 伪装成 2200 多家银行的app，利用“屏幕覆盖攻击”（伪造银行app登录界面，覆盖正规应用程序的界面欺骗用户，以获取用户名、密码和信用卡信息）窃取用户银行账户与密码信息。该伪装app还能远程锁定智能手机、强制密码解锁、访问电话号码、查看消息对话、文本拦截、甚至更改扬声器音量、擦除设备数据。目前已有近1万用户被感染。

被仿冒的应用截图

#老生常谈：从官方或正规渠道下载app。企业更要采取必要的移动安全措施，加固app、防盗版，保护企业数据、防窃密，设定手机安全策略、谨防设备失控。#

12月初，有人爆出苹果homekit在ios 11.2版本存在致命漏洞，能让连接homekit的智能门锁、智能灯、恒温器以及插座等设备遭未经授权的控制，苹果随即修复了该漏洞。但有安全开发人员发现苹果的安全补丁并没有完美解决问题，反而让攻击变得更容易了：安全补丁又补出2个无须授权就可找到设备识别码的bug，以及不做任何认证即执行的指令操作漏洞。

#系统商不上心，企业只能靠自己了。#

相关阅读：

近日，安全人员在以严格的安全性著称的苹果官方应用商店app store中发现一款假冒游戏：cuphead。这款游戏表面上看一切正常，但其下载界面显示的开发商“studiomdhr”却与实际不符，而studiomdhr官方也证实这是一个骗局，有人冒名顶替了他们开发的这款热门游戏“cuphead”。

#热门游戏被假冒不奇怪，但被以安全著称的app store通过审查就是个大问题了。万一假冒的不是游戏，而是恶意软件，最终还是用户买单。即便企业机构用的是苹果的设备及其官方应用，依然不可掉以轻心忽略安全防范措施！#