近些年来,移动互联网飞速发展,在移动APP为人们生活提供了大量的便利,同时也给了一些非法组织从事违法犯罪活动提供了渠道,今天我们介绍的是臭名昭著的APT-C-23(双尾蝎APT组织),这个组织以阿拉伯语为主,代表哈马斯、伊斯兰原教旨主义运动,是一个针对中东地区相关国家的教育机构、军事机构等重要领域窃取敏感信息为主的网络攻击组织。随着技术的迭代更新,恶意程序具有更高的隐蔽性,攻击平台主要包括 Windows 与 Android。近几年国内外安全团队都有对此组织的活动的曝光。
概述
近期,暗影实验室的态势感知平台捕获了几款此类的间谍软件,此类恶意程序仿冒成正常的交友聊天类软件,诱导用户下载安装并同意权限和无障碍通知,在注册使用时会根据安卓版本选择隐藏或更改应用图标,隐藏活动入口,防止用户主动杀后台,后台运行通过FCM(Firebase Cloud Messaging)消息传递和SMS短信并远程操控手机执行监听并上传用户隐私信息,会通过进行远控指令的下发。
其主要间谍功能为:
-
• 获取用户手机通讯录
-
• 获取用户短信
-
• 获取指定格式的文件
-
• 获取图片
-
• 获取通话记录
-
• 获取安装应用列表
-
• 获取拦截聊天应用的通知消息通知
-
• 录音和通话录音
-
• 截屏
-
• 设置无线网络
-
• 调用系统相机拍照
样本信息
恶意程序基本信息如下表:
| 应用名称 | 样本md5 | 包名 |
| Whispers | 4139BC61833F61365F49DC165AAB0AE5 | com.whispers.chat |
| Whispers | C76402446B83840DD2D3635522874F8C | com.whispers.chat |
恶意程序安装图标如下图:
恶意程序签名信息如下表:
| 所有者 | EMAILADDRESS=[email protected], CN=Lorensius W. L. T, OU=AndroidDev, O=Londatiga, L=Bandung, ST=Jawa Barat, C=ID |
| 发布者 | EMAILADDRESS=[email protected], CN=Lorensius W. L. T, OU=AndroidDev, O=Londatiga, L=Bandung, ST=Jawa Barat, C=ID |
| 序列号 | E6EFD52A17E0DCE7 |
| 证书MD5 | EEA6F6F40858B8215C48B0465FE479B8 |
| 证书SHA1 | ECE521E38C5E9CBEA53503EAEF1A6DDD204583FA |
| 证书SHA256 | 518AC8BDAF0C767DEB31BAE1EBA826ADBEF793A68F22784CF3E19C67BA87ECB9 |
程序运行流程图
图3 程序运行流程图
核心功能
仿冒聊天应用并获取权限
该恶意应用仿冒聊天类应用,诱导用户安装,并设置“targetSdkVersion=”22″,仿冒GoolePlay一次性申请所有权限隐私权限。
图4-1-1 仿冒聊天应用并诱骗获取权限
使用钓鱼页面诱导用户FackeBook登录获取其账号密码。
图4-1-1 fackebook钓鱼页面
应用防护策略
恶意程序通过激活设备管理和后台隐藏,防止用户正常卸载和杀后台操作;通过隐藏或改变恶意程序桌面快捷方式,欺诈用户。
激活设备管理器
恶意程序,通过激活设备管理器,防止用户正常卸载。
图4-2-1-1 判断是否开启了设备管理器
图4-2-1-2 激活设备管理器
隐藏后台
恶意程序通过设置“excludeFromRecents=”true””属性,使后台运行程序对用户不可见,防止用户主动结束杀后台。
图4-2-2-1 隐藏后台应用
隐藏应用图标或改变应用图标
当用户进行注册此应用时,会弹出警告:提示将卸载此应用,实际是恶意软件将根据手机安卓版本选择更改图标或隐藏桌面快捷方式。
• 安卓10及以上版本,将随机更改成谷歌地图、Chrome、设置等图标。
• 安卓10以下版本,隐藏桌面快捷方式。
图4-2-3-1 卸载警告信息和更改快捷方式图标
判断系统版本:
图4-2-3-2 判断系统版
恶意程序隐藏桌面快捷方式:
图4-2-3-3 隐藏桌面快捷方式
通过使用“activity-alias”设置应用Activity的别名,提供快捷入口和更改应用图标。
图4-2-3-4 设置别名
在安卓10及以上版本,图标将被替换成谷歌地图、Chrome、设置等图标。
图4-2-3-5 更改图标
监听获取用户隐私
恶意程序通过Google的FCM(Firebase Cloud Messaging)和短信执行远程控制指令。
短信远控指令
注册短信监听的广播:
图4-3-1-1 注册短信广播
通过正则表达式匹配短信内容:
图4-3-1-2 正则匹配短信
解析到的短信内容指令实现远控操作:
图4-3-1-3 短信的远控指令下发
短信指令和远控功能如下表:
| 短信指令 | 功能 |
| 59 | 启动 |
| 95 | 停止 |
| 34 | Enable Mobile Data |
| 43 | Disable Mobile Data |
| 5 | 录音重置 |
| 77 | 获取应用列表 |
| 0 | 开启WIFI |
| 99 | 关闭WIFi |
| 44 | 获取手机通讯录 |
| 66 | 获取设备信息 |
| 88 | 获取手机文件 |
| 11 | 检查进程 |
| 7 | 修改domain |
FCM远控指令
在清单文件中注册了FCM的服务:
图4-3-2-1 使用FCM框架
通过FCM消息传递解析对应参数(type)获取远控指令:
图4-3-2-2 解析FCM的通知参数
根据远程消息指令实现远控操作:
图4-3-1-3 FCM的远控指令下发
FCM框架的指令的功能和作用如下表:
| FCM指令 | 功能 |
| take_photo | 获取相册 |
| s_perms | 申请权限 |
| record_sound | 录音 |
| apps_info | 应用列表 |
| wifi_restart | WIFI设置 |
| find_mobile_number | 通话信息 |
| call_rec_encode | 录音加密存储 |
| uninstall_another | 卸载程序 |
| wxyz | 截屏 |
| wxyz_period | 定时截图 |
| call_rec_old_method | 通话录音 |
| call_rec_reset | 通话录音重置 |
| call_logs | 通话记录 |
| w_s | 获取WhatsApp账户信息 |
| access_service_check | 服务器检测 |
| check_hide | 隐藏图标 |
| mess_cont | 获取短信和通讯录 |
| s_tree | 获取目录 |
| stop_rec | 停止录音 |
| stop_custom_rec | 停止录音 |
| stop_current_rec | 暂停录音 |
| manage_files | 文件管理 |
| fast_get | 下载文件 |
| update | 更新 |
| delete_app | 删除APP |
| online | 电池 |
| info | 账号设备信息 |
| refresh_connect | c从新链接 |
| mobile_data | 设备信息 |
| get_call | 拨打电话 |
主要间谍功能的实现
恶意程序的主要远程功能为:获取用户通讯录、获取短信、获取通话记录、获取图片、获取指定格式的文件、获取安装应用列表、拦截获取指定聊天软件的通知消息、通话录音、录音、截屏、调用系统相机拍照、启用WIFI等。
获取用户通讯录:
图4-4-1 获取用户通讯录
获取用户短信:
图4-4-2 获取用户短信
获取用户通话记录:
图4-4-3 获取用户通话记录
获取指定格式的文件:(拓展名为pdf, doc, docs, ppt, pptx, xls, xlsx, txt, text)
图4-4-4 获取指定格式的文件
获取用户图片:(拓展名为jpg, jpeg, png)
图4-4-5 获取用户图片
录音功能:
图4-4-6 录音
通话录音功能:
图4-4-7 通话录音
获取已安装的应用列表:
图4-4-8 获取安装应用列表
获取应用通知通知消息并拦截:(facebook、whatsapp、telegram、instagram、viber、skype、imo)
图4-4-9 获取其他聊天应用通知
截屏功能:
图4-4-10 手机截屏
调用系统相机拍照:
图4-4-11 使用系统相机拍照
设置WIFI状态:
图4-4-12 设置wifi
服务器C2特征
通过分析发现恶意上传用户隐私信息使用的HTTPS通信,恶意软件通过将地址加密硬编码存放于“liboxygen.so”文件中,并通过解密后的地址返回动态加载真正的恶意地址。
图4-5-1 加载so
图4-5-2 服务器地址
分析函数找到硬编码的加密地址:
图4-5-3 地址硬编码
通过AES和Base64进行加解密:
图4-5-4 地址解密方法
还原解密关键代码:
图4-5-5 还原解密代码
解密后的中间地址:https://sites.***.com/view/virginia-****/****
图4-5-6 中间地址解密
通过中间地址动态返回内容匹配关联的字符串:
图4-5-7 匹配返回的字符串
匹配到的内容:
图4-5-8 匹配到的字符串
处理匹配到的字符串获取真实的恶意地址:
图4-5-9 解析真实的恶意地址
解析出的真实URL地址为:https://fran*****.com/version/
图4-5-10 真实的恶意地址
修复方法
安装此类app后,处理方式有三个步骤,用户可以通过以下方法卸载:
(1)立即关闭所有网络连接(断开手机移动网络和wlan),在未删除app前,建议禁止网络连接;
(2)在手机设置的应用信息中找到应用图标,点击卸载(如激活设备管理器,需要先取消激活);
(3)如果以上方法都无法删除,备份一些重要数据到电脑,然后恢复出厂设置。如果不放心,也可选择重置手机,以此规避已经投放到手机上的恶意负载的攻击。
安全建议
恒安嘉新暗影移动安全实验室在此提醒广大用户,不轻易相信陌生人,不轻易点击陌生人发送的链接,不轻易下载不安全应用,不安装非正规途径来源的APP。用户可以采用以下方式来阻止钓鱼软件攻击:
-
• 谨慎打开未知短信的下载链接。
-
• 避免点击网页中的链接或下载附件。
-
• 仅从受信任的来源下载应用程序,建议去正规的应用市场或官方下载。
暗影移动安全实验室(EversecLab)是恒安嘉新移动安全能力的支撑部门,由移动安全、数据安全、人工智能、漏洞挖掘等众多领域专家组成,专注于移动安全技术创新与研究,以及移动互联网应用安全的生态建设,包括移动恶意程序分析、安全风险评估、信息安全检测、数据安全评估、黑灰产溯源挖掘、诈骗APP分析、隐私合规检测等等。自主研发第四代移动APP高速研判分析引擎,支持动态检测引擎(动态沙箱技术)、静态检测引擎、AI检测引擎,样本库积累千万级,PB级大数据存储处理技术等。可为客户提供海量应用的信息挖掘,精准、实时、高效的APP检测、情报数据收集、数据关联分析、情报线索扩展,大屏态势感知展示等等。
“安全创造价值”–暗影移动安全实验室坚持以安全为核心,研究为己任,继续创新和开发解决用户问题和行业痛点的产品,为国家的网络安全事业保驾护航。
原文始发于微信公众号(暗影安全实验室):APT-C-23新型变种揭秘
