安全周报（10.25-10.31）

1、8600多个摄像头账号密码被破解出售！个人隐私裸奔

很多公司都使用了软件打卡进行考勤，需要限制定位范围。有些人为了打卡不惜作弊，某些公司也发现了这个商机，给10万人提供打卡服务，狂赚数百万，等待的则是五年半刑期。

据中国证券报报道，10月初，北京市海淀区人民法院公开一起破坏计算机信息系统罪案件，被告人张某杰被判处有期徒刑五年六个月。

判决书显示，被告人张某杰于2019年5月31日被公安机关抓获。

据张某杰供述，其在2017年成立了北京得牛科技有限公司并担任CEO，公司的法定代表人是张某辉，其用他的身份证注册该公司，公司主要开发手机应用软件并提供有偿使用服务。

公司开发的软件“大牛助手”APP，通过购买深圳罗盒科技有限公司虚拟程序APP的使用权，对该APP的界面进行优化并添加充值接口，然后上线运行。

据张某杰的供述证实，“大牛助手”在不改变其他APP源代码的情况下，通过虚拟位置信息、Wi-Fi信息和照片信息，对其他APP该类信息进行修改。

当用户使用其他APP不想暴露自己的位置信息时，“大牛助手”就对用户的位置进行遮蔽，当用户想要修改自己位置信息时，“大牛助手”可以进行修改，修改时打开“大牛助手”，将需要改变定位信息的APP添加到列表中，点击模拟定位功能，然后在地图上选择需要修改的位置即可。

据悉，“大牛助手”的新注册用户有12小时免费试用时间，包月会员需缴纳每月25元，年费会员需缴纳89元。

目前该公司通过该APP一共赚取四五百万元。

判决书显示，经阿里巴巴公司技术人员对“大牛助手Android系统1.1.1”进行分析发现，该软件绕过了“钉钉”无限安全保镖模块，劫持了“钉钉”平行空间检测接口，当“钉钉”的平行空间检测接口需要获取设备信息时，“大牛助手”通过重放技术伪造虚假数据，直接向“钉钉”的平行空间检测接口传输虚假数据，造成伪造打卡记录，干扰“钉钉”系统的正常运行。

近日，安全研究人员Avast在谷歌应用商店中发现了一个广泛存在的短信骗局，名称为“UltimaSMS（终极短信）”。他们第一次在一款名为“Ultima Keyboard 3D Pro”发现了该骗局，于是就以UltimaSMS作为它的名字。

UltimaSMS惯用的做法是发布恶意Android 应用程序，并让受害者订阅高级服务，以此获得不菲的利润。截止到目前，攻击者至少已经在80 多个国家/地区发布了151 个 Android 应用程序，总下载数额超过一千万次。

Avast进一步分享了UltimaSMS骗局的“骚操作”。

首先，攻击者会搭建虚假照片编辑器、垃圾邮件拦截器、相机过滤器、游戏和其他应用程序，并通过Instagram 和 TikTok 进行大范围推广。不少用户因为精彩的广告信息下载了这些APP。

其次，APP安装后会自动获取手机的位置、国际移动设备识别码 (IMEI) 和电话号码等隐私信息，以此确定受害者所处的国家和语言。数据显示，APP数量下载量最多的是中东地区，包括埃及、巴基斯坦等国家。

最后，当用户打开APP时，首页会要求用户输入电话号码，甚至是电子邮件地址。Avast表示，“用户输入了这些信息后，攻击者会悄悄为他们订阅高级服务，根据国家/地区/运营商的不同，平均每月收取的费用超过了40美元。但是，这些APP并不会真的为用户解锁那些宣传的功能，而是显示更多的短信订阅选项，或者直接停止工作。这些虚假的APP唯一的目的就是欺骗用户订阅高级短信服务。”

发现这一骗局后，Avast第一时间向谷歌应用商店报告，随即谷歌就删掉了这些恶意APP。据专家称，骗局被发现时，其背后的运营商还正在收取数千美元的费用。

9月末，研究人员在谷歌应用商店发现了一系列针对Pix支付系统和巴西银行的恶意软件，其中一个版本可以直接窃取目标钱包，研究人员将其命名为PixStealer。

新冠加速了银行业数字化进程，在此期间最成功的例子之一是Pix，一项巴西中央银行创建的即时支付解决方案。Pix于2020年11月发布，现在每天的交易量已达到4000万笔，每周交易总额达到了47亿美元，但同时，黑客也盯上了Pix支付。