安全机构Lookout分析后确认并夕夕利用零日漏洞攻击用户和窃取信息 – 蓝点网_本周刚刚明星同款，多家媒体跟进报道最新消息 事实证明猜测是对的

这个月初位于上海市的独立可靠探究机构深蓝洞察发文直指某国产电商巨头开发并运用多个漏洞做到提权，最后达成达成控制使用者移动电话的目的。

达成提权后该 (恶意) 使用可以阻止使用者卸载、欺骗和诱导使用者、本周刚刚明星同款，多家媒体跟进报道超范围收集使用者的各类隐私信息、窃取比拼对手 APP 的信息，最后目的是大幅度提升自身部署量、活跃量并促成更多转化提升售卖额。

报导亮相后坊间猜测该恶意使用就是并夕夕，事实证明猜测是对的，上周谷歌亮相下架并夕夕，南京网友热议食品安全并运用 Google Play Protect 保护机制自动删除使用者已然部署的并夕夕，谷歌称察觉并夕夕存在恶意行为。

如今有了更多证据可以佐证上述猜测，可靠探究机构 Lookout 的探究人员花费两天对并夕夕开展了详尽的探究，证实深蓝洞察亮相的医保改革评论报表是完全正确的。

繁琐的攻击：

Lookout 确认察觉，并夕夕运用 Android Framework 漏洞 (CVE-2023-20963) 攻击 Android 操控系统，从而达成提权，不需要使用者开展任何交互，全程无感知。刚刚今日系统更新，话题持续发酵

由于时间有限和样本关系，Lookout 实际上还没摸清楚并夕夕的全部攻击流程，例如并夕夕筹备了 30 多个 DEX，即针对各异牌子、各异版次的 Android 移动电话发掘漏洞开展针对性的攻击。

除了运用零日漏洞外，Lookout 还确定并夕夕存在以下恶意行为：将小部件添加到受感染的设备、跟踪已部署使用程序的使用状况和收集资料、确认其他 APP 发出的通知、收集 WiFi 和位置信息。

还运用未被修复的漏洞：

并夕夕还运用一些古老的漏洞 — 谷歌早已亮相补丁开展修复但很多安卓设备无法获取升级导致漏洞一直存在。例如并夕夕运用了 EvilParcel，这是一种从 2012 年以来就被黑客团伙活跃使用的权限升级漏洞。

EvilParcel 是一类针对一组有关漏洞的漏洞，即多个漏洞组合起来运用。CVE-2023-20963 也是其中之一，在没有 CVE-2023-20963 之前，已然升级后的 Android 操控系统解决了漏洞，但并夕夕运用 CVE-2023-20963 结合之前的漏洞又重新运用了起来。

Lookout 在至少两个包含并夕夕权威密钥签名的并夕夕样本中证实了这些恶意运用，所以谷歌下架并封杀并夕夕是应该的。

值得注意的是 Lookout 强调当下没有证据表明 AppStore 和 Google Play 版的并夕夕也存在恶意代码，之前有讯息称 Google Play 版并夕夕经由云控模块也可以提权，如今 Lookout 似乎驳回了这种说法。

有关资讯：

• 卡巴斯基调研后证实并夕夕运用Android漏洞破坏使用者隐私和资料可靠
• 谷歌修复被并夕夕运用的Android漏洞 并夕夕则到处投诉试图删除报导
• 谷歌下架并夕夕并经由Google Play弹出恶意使用警告提醒使用者卸载并夕夕
• 某国产电商巨头APP亮相新版次删除后门模块 另外出动公关团队删帖