双尾蝎组织动态,针对巴勒斯坦人的攻击第二弹

释放双眼,带上耳机,听听看~!

路过可以关注一下

#APT攻击# 双尾蝎组织动态,针对巴勒斯坦人的攻击第二弹

第一弹之前也写过,可见下

双尾蝎组织的GnatSpy变种样本简要关联分析

本期仍然强调该组织在20多个国家或地区注册了数百个域名,并感染了数千个受害者。

攻击手法


该组织一如既往的爱进行APK伪装,其中伪装的恶意程序特点:

1) 

聊天应用程序,如Chat Me,Chatous,Go Chat,Love Chat,MeetMe,SendBird,SoChat,VoiceChat,WeChat和WhispersTalk以及类似的应用程序。

2)

显示WhatsApp,Facebook,Skype和Telegram等热门应用程序的更新状态。

        需要强调的是,该组织能够将部分恶意软件上传到Google Play。 为了提高感染率,他们有两种主要的分发方法。 第一个是通过短信,其中包含指向Google云端硬盘的网址或托管APK的C&C域名。 第二种方法是将他们的应用程序上传到第三方商店。

        目前在7家不同的第三方商店发现了“Zee Player”,也是上一弹的主要研究对象。这些第三方商店是并不能判断是否恶意,甚至是与该组织存在合作,因为其中一些只是从Google Play中搜集到的,而其他商店只是互相copy。

        

命令传输方面:

两种将消息推送到应用程序的方法。 

1)利用Firebase云消息传递。(https://firebase.google.com/docs/cloud-messaging/ )只是 Google提供的免费云服务,允许应用开发人员轻松,高可靠地在各种平台上向用户发送通知和消息。同时其兼备多种免费分析工具可方便攻击者使用。

2) 利用短信命令传输作为备份。

为了当受害者没有联网的情况下,还可以进行操作,如图,命令17342,17322,17323等结尾的会执行指定命令


下面为上面两种方式的具体运用流程。

        当应用程序第一次启动时,它会与预定义的C&C服务器通信,该服务器会返回另一个C&C服务器地址。详细返回的C&C服务器地址可见附录,有超过100个

        获取更新的域后,应用程序会去发送其FCM令牌,以便允许C&C服务器利用FCM向应用程序发送命令。

        还有上面提及的信息传输方案。

        图示如下。

        

下面是命令列表。

安装命令


        当接收到安装其它APK的命令时,会弹出更新其它热门APP的提示,这招还行,涉及的更新APP有 Facebook, WhatsApp, Google Play, Instagram 和Messenger。



恶意软件会卸载自己,尽管各种各样的版本可能会导致一些混乱。



新增技术手段


1)

开始请求设备管理员权限

2)

获取USSD码服务,攻击者使用USSD作为检索电话号码的方法,并添加辅助服务,以捕获从USSD代码生成的警报对话框,然后定位是否为“056” (Wataniya) 或“059” (Jawwal),这都是巴勒斯坦的号码前缀

上图为辅助功能,下图为判断USSD码

3)

应用程序许可 – 在恶意软件样本中看到权限“com.android.vending.CHECK_LICENSE”非常奇怪。 它没有正确实现,目的不是很清楚,也许是为了得到Google Play的许可(仅适用于来自商店的应用,也许是某种使用APK扩展文件的方案)

4)

电源管理 –  REQUEST_IGNORE_BATTERY_OPTIMIZATIONS  – 此权限的目的是免除电源管理功能,即将恶意软件添加到白名单,以便在恶意软件电池使用率高的情况下不会通知受害者。

5)

CacheCleaner  – 攻击者创建了一个维护任务,删除临时文件,以便在上传数据之前始终有足够的空间用于上传:

它还尝试以随机数Mb的愚蠢方式释放内存:(骚)

以上,ioc看下面链接。

相关链接

https://www.symantec.com/blogs/expert-perspectives/ongoing-android-malware-campaign-targets-palestinians-part-2

IOC网址

https://content.connect.symantec.com/sites/default/files/2018-08/APT-C-23%20IOCs_0.pdf

最后附上封面灵魂P图↓

本文源自微信公众号:黑鸟

人已赞赏
安全工具

95.8%的安全漏洞,在90天细节披露截止日期到期之前均得到修复

2019-10-16 10:45:10

安全工具

朝鲜APT组织lazarus的特马代码源头追溯

2019-10-16 10:45:16

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索