APT-C-23新型变种揭秘

阅读量    85296 |

分享到: QQ空间 新浪微博 微信 QQ facebook twitter

 

1.概述

近些年来,移动互联网飞速发展,在移动APP为人们生活提供了大量的便利,同时也给了一些非法组织从事违法犯罪活动提供了渠道,今天我们介绍的是臭名昭著的APT-C-23(双尾蝎APT组织),这个组织以阿拉伯语为主,代表哈马斯、伊斯兰原教旨主义运动,是一个针对中东地区相关国家的教育机构、军事机构等重要领域窃取敏感信息为主的网络攻击组织。随着技术的迭代更新,恶意程序具有更高的隐蔽性,攻击平台主要包括 Windows 与 Android。近几年国内外安全团队都有对此组织的活动的曝光。

近期,暗影实验室的态势感知平台捕获了几款此类的间谍软件,此类恶意程序仿冒成正常的交友聊天类软件,诱导用户下载安装并同意权限和无障碍通知,在注册使用时会根据安卓版本选择隐藏或更改应用图标,隐藏活动入口,防止用户主动杀后台,后台运行通过FCM(Firebase Cloud Messaging)消息传递和SMS短信并远程操控手机执行监听并上传用户隐私信息,会通过进行远控指令的下发。

主要间谍功能为:

获取用户手机通讯录
获取用户短信
获取指定格式的文件
获取图片
获取通话记录
获取安装应用列表
获取拦截聊天应用的通知消息通知
录音和通话录音
截屏
设置无线网络
调用系统相机拍照

 

2. 样本信息

恶意程序基本信息如下表:

应用名称 样本md5 包名
Whispers 4139BC61833F61365F49DC165AAB0AE5 com.whispers.chat
Whispers C76402446B83840DD2D3635522874F8C com.whispers.chat

恶意程序安装图标如下图:

恶意程序签名信息如下表:

所有者 EMAILADDRESS=lorenz@londatiga.net, CN=Lorensius W. L. T, OU=AndroidDev, O=Londatiga, L=Bandung, ST=Jawa Barat, C=ID
发布者 EMAILADDRESS=lorenz@londatiga.net, CN=Lorensius W. L. T, OU=AndroidDev, O=Londatiga, L=Bandung, ST=Jawa Barat, C=ID
序列号 E6EFD52A17E0DCE7
证书MD5 EEA6F6F40858B8215C48B0465FE479B8
证书SHA1 ECE521E38C5E9CBEA53503EAEF1A6DDD204583FA
证书SHA256 518AC8BDAF0C767DEB31BAE1EBA826ADBEF793A68F22784CF3E19C67BA87ECB9

 

3. 程序运行流程图

程序运行流程图

 

4.核心功能

4.1 仿冒聊天应用并获取权限

该恶意应用仿冒聊天类应用,诱导用户安装并设置“android:targetSdkVersion=”22”,仿冒GoolePlay一次性申请所有权限隐私权限。

使用钓鱼页面诱导用户FackeBook登录获取其账号密码:

4.2 应用防护策略

恶意程序通过激活设备管理和后台隐藏,防止用户正常卸载和杀后台操作;通过隐藏或改变恶意程序桌面快捷方式,欺诈用户。

4.2.1 激活设备管理器

恶意程序,通过激活设备管理器,防止用户正常卸载。

判断是否开启了设备管理器:

激活设备管理器:

4.2.2 隐藏后台

恶意程序通过设置“excludeFromRecents=”true””属性,使后台运行程序对用户不可见,防止用户主动结束杀后台。

4.2.3 隐藏应用图标或改变应用图标

当用户进行注册此应用时,会弹出警告:提示将卸载此应用,实际是恶意软件将根据手机安卓版本选择更改图标或隐藏桌面快捷方式。

  • 安卓10及以上版本,将随机更改成谷歌地图、Chrome、设置等图标。
  • 安卓10以下版本,隐藏桌面快捷方式。

卸载警告信息和更改快捷方式图标

判断系统版本:

在安卓10版本以下,恶意程序隐藏桌面快捷方式:

通过使用“activity-alias”设置应用Activity的别名,提供快捷入口和更改应用图标:

在安卓10及以上版本,图标将被替换成谷歌地图、Chrome、设置等图标:

4.3 监听获取用户隐私

恶意程序通过Google的FCM(Firebase Cloud Messaging)和短信执行远程控制指令。

4.3.1短信远控指令

注册短信监听的广播:

通过正则表达式匹配短信内容:

解析到的短信内容指令实现远控操作:

短信指令和远控功能如下表:

短信指令 功能
59 启动
95 停止
34 Enable Mobile Data
43 Disable Mobile Data
5 录音重置
77 获取应用列表
0 开启WIFI
99 关闭WIFi
44 获取手机通讯录
66 获取设备信息
88 获取手机文件
11 检查进程
7 修改domain

4.3.2FCM远控指令

在清单文件中注册了FCM的服务:

通过FCM消息传递解析对应参数(type)获取远控指令:

根据远程消息指令实现远控操作:

FCM框架的指令的功能和作用如下表:

FCM指令 功能
take_photo 获取相册
s_perms 申请权限
record_sound 录音
apps_info 应用列表
wifi_restart WIFI设置
find_mobile_number 通话信息
call_rec_encode 录音加密存储
uninstall_another 卸载程序
wxyz 截屏
wxyz_period 定时截图
call_rec_old_method 通话录音
call_rec_reset 通话录音重置
call_logs 通话记录
w_s 获取WhatsApp账户信息
access_service_check 服务器检测
check_hide 隐藏图标
mess_cont 获取短信和通讯录
s_tree 获取目录
stop_rec 停止录音
stop_custom_rec 停止录音
stop_current_rec 暂停录音
manage_files 文件管理
fast_get 下载文件
update 更新
delete_app 删除APP
online 电池
info 账号设备信息
refresh_connect c从新链接
mobile_data 设备信息
get_call 拨打电话

4.4 主要间谍功能的实现

恶意程序的主要远程功能为:获取用户通讯录、获取短信、获取通话记录、获取图片、获取指定格式的文件、获取安装应用列表、拦截获取指定聊天软件的通知消息、通话录音、录音、截屏、调用系统相机拍照、启用WIFI等。

获取用户通讯录:

获取用户短信:

获取用户通讯录:

获取指定格式的文件(拓展名为pdf, doc, docs, ppt, pptx, xls, xlsx, txt, text):

获取用户图片(拓展名为jpg, jpeg, png):

录音功能:

通话录音功能:

获取已安装的应用列表:

获取应用通知通知消息并拦截(facebook、whatsapp、telegram、instagram、viber、skype、imo):

截屏功能:

调用系统相机拍照:

设置WIFI状态:

 

5. 服务器C2特征

通过分析发现恶意上传用户隐私信息使用的HTTPS通信,恶意软件通过将地址加密硬编码存放于“liboxygen.so”文件中,并通过解密后的地址返回动态加载真正的恶意地址。

加载so的关键函数:

分析函数找到硬编码的加密地址:

通过AES和Base64进行加解密:

还原解密关键代码:

解密后的中间地址:https://sites.***.com/view/virginia-****/****

通过中间地址动态返回内容匹配关联的字符串:

通过返回匹配到的内容为:

处理匹配到的字符串获取真实的恶意地址:

解析出的真实URL地址为:https://fran*****.com/version/

 

6. 修复方法

安装此类app后,处理方式有三个步骤,用户可以通过以下方法卸载:
(1)立即关闭所有网络连接(断开手机移动网络和wlan),在未删除app前,建议禁止网络连接;
(2)在手机设置的应用信息中找到应用图标,点击卸载(如激活设备管理器,需要先取消激活);
(3)如果以上方法都无法删除,备份一些重要数据到电脑,然后恢复出厂设置。如果不放心,也可选择重置手机,以此规避已经投放到手机上的恶意负载的攻击。

 

7. 安全建议

恒安嘉新暗影移动安全实验室在此提醒广大用户,不轻易相信陌生人,不轻易点击陌生人发送的链接,不轻易下载不安全应用,不安装非正规途径来源的APP。用户可以采用以下方式来阻止钓鱼软件攻击:

谨慎打开未知短信的下载链接。
避免点击网页中的链接或下载附件。
仅从受信任的来源下载应用程序,建议去正规的应用市场或官方下载。

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读
|发表评论
|评论列表
加载更多