双尾蝎组织的GnatSpy变种样本简要关联分析

释放双眼,带上耳机,听听看~!

走过路过点波关注↑谢谢您勒

        今天,闲下来回看这周情报,有一个双尾蝎组织的最新攻击活动,目标仍为巴勒斯坦地区,下面将基于这个最新的木马进行简单的关联分析。

        此次使用的是伪装成ZEE 播放器的GnatSpy变种木马

(2c30676af207b3bbb81af097cfd94e88),如下图所示。

        从SharedPreference中的SPManager类可以看出,该木马企图执行大量恶意操作,如读取短信,读取邮件,获取密码等等操作

     同时,receivers和services类中与以往的变种功能不一致,函数名有所改变。        

    而该家族样本都会有一个特点,像此处,该样本会将字符串拼接成URL链接(https://zee-player.website/api/),访问后可获取真实C&C地址

       获取真实C&C地址(类似下列回传特征,目前已失效)

样本中还有一个硬编码的混淆后的地址,与此前GnatSpy变种类似,解开后为https://kristy-milligan.website,但在样本中并未看见有调用行为,除此之外还有一个名为mupdate的APK名称,疑似之后的行为中会下载该APK。

下图为该家族此前的混淆方式。

而kristy-milligan这个域名实际为一个人名,目前暂不知该名字意义何在。

通过关联分析,可以获取到此域名的用途同样也为获取真实C&C地址功能。

https://kristy-milligan.website/api/get_dom/

且通过该域名,可以获取到一些双尾蝎组织近期的样本,大致如下:

c95fe8de4dd4c770a61e5361898322e8

f9f6155ca91b3d444095051cb344f9b1

25c2e3b2ed107f0682875a4f4d0cbd80

9aceb002e71b7a15bded15f18c07267b

f8e754d791edbafc760510bf30012b0b

e8dfa1a7cf756b9dbe864ef1df6e8706

24a35852d72a2a8eac1b5d3582b04c54

83c7f971ffae27e01f12704fb43d5c04

如下图的仿照facebook的GnatSpy变种

仿照meetme

    

        鉴于该组织擅长进行钓鱼攻击,因此,在下载安装APP时候请注意是否为官方来源,避免中招。

相关链接:

https://www.symantec.com/blogs/expert-perspectives/ongoing-android-malware-campaign-targets-palestinians-part-1?es_p=7358284

https://blog.trendmicro.com/trendlabs-security-intelligence/new-gnatspy-mobile-malware-family-discovered/

本文源自微信公众号:黑鸟

人已赞赏
安全工具

[注意]请关注我微博,今日情报已经发布上去,知识星球用户请看这里

2019-10-16 10:43:38

安全工具

全球威胁组织报告:安全界的动物图谱

2019-10-16 10:43:43

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索