背景介绍
2017年3月15日奇安信红雨滴高级威胁分析团队已经对APT-C-23做了详细的揭露,APT-C-23组织的目标主要集中在中东地区,尤其活跃在巴勒斯坦的领土上。2016 年 5 月起至今,双尾蝎组织(APT-C-23)对巴勒斯坦教育机构、军事机构等重要领域展开了有组织、有计划、有针对性的长时间不间断攻击。攻击平台主要包括 Windows 与 Android。
Android恶意程序主要伪装成两类应用程序:一类为聊天工具,另一类为软件升级工具。其传播方式主要有两种:第一种方法是通过短信,其中包含指向Google云端硬盘的网址或托管APK的C&C域名,第二种方法是将他们的应用程序上传到第三方应用商店。其中Android版本当时已经更新了两个版本,类名对应的功能如下图。
近期Check Point发现了APT-C-23使用了带有政治主题的诱饵PDF文件,使用了新的C2 frowtisice[.]club。
经过我们分析,新样本在原有的基础上功能进行了增加,代码结构、控制指令等都进行了巨大的改变,程序运行后会显示带有政治主题的诱饵PDF文件,而随着巴以冲突的持续升温,APT-C-23再次更新其目的也显而易见。
下图为样本运行以后带有政治主题的PDF诱饵文件:
样本分析
APT-C-23新样本通过仿冒Acrobat更新,并通过显示含有政治主题的诱饵PDF文件,诱骗用户安装使用;恶意软件主要目的为窃取用户手机信息,并对用户手机进行远程控制,新程序继承了APT-C-23下发控制指令的模式,实现了两种向应用推送消息的方式,FCM和SMS通信,从而可以更加稳定的接收到控制指令;程序运行以后会隐藏自身图标,从而保护自身不被卸载;程序会通过两种方式下发控制指令,两种方式下发的指令其功能类似,例如:开始对用户手机进行录音,上传用户手机短信,上传用户手机通讯录,上传用户手机文件等操作。
恶意程序运行界面
程序运行后隐藏自身图标
APT-C-23实现了两种向应用推送消息的方式,FCM和SMS通信,从而可以更加稳定的接收到控制指令。
通过SMS的控制指令下发
SMS控制指令:
控制指令 | 指令含义 | 控制指令 | 指令含义 |
#.= | 开启录音,并上传录音 | 52115 | 启用更新通知 |
#,, | 停止录音 | 52116 | 禁用更新通知 |
52101 | 启动应用程序 | 52117 | 启用新的URL |
52102 | 关闭应用程序 | 52118 | 上传手机文件 |
52103 | Enable Mobile Data | 52119 | 获取控制指令 |
52104 | Disable Mobile Data | 52120 | 获取录制的内容 |
52105 | 卸载应用程序 | 52121 | 未启用功能 |
52106 | 删除录音文件 | 52122 | 获取短信通信记录 |
52107 | 开启WiFi | ||
52108 | 重启录音功能 | ||
52109 | 取消更新 | ||
52110 | 获取用户手机已安装程序信息 | ||
52111 | 禁用第一次更新 | ||
52112 | 启用第一次更新 | ||
52113 | 获取所有短信内容 | ||
52114 | 获取手机通讯录 |
通过短信下发指令:
指令:#.=
指令:#,,
指令:52101
指令:52102
指令:52103
指令:52104
指令:52105
指令:52106
指令:52107
指令:52108
指令:52109
指令:52110
指令:52111
指令:52112
指令:52113
指令:52114
指令:52115
指令:52116
指令:52117
指令:52118
指令:52119
指令:52120
指令:52121
指令:52122
重要代码截图
获取用户短信:
获取用户手机通讯录:
上传URL:https://frowtisice.club/Margarita
通过FCM的控制指令下发
控制指令 | 指令含义 |
Eduardo | 检测更新 |
JadisWalsh | 申请权限统计短信、通讯录 |
EzekielMonroe | 检测录音文件是否存在 |
LizzieHenry | 开始录音并上传录音 |
CarlRhee | 开启WiFi |
RositaPorter | 开启WiFi |
BethAaron | 对用户手机呼叫转移 |
HershelJones | 无实际功能 |
AndreaGrimes | 获取用户手机短信、获取用户通讯录 |
Stookey | 上传手机文件 |
SimonBlake | 停止录音并上传文件 |
OliviaKal | 停止录音 |
FrancineGary | 停止录音 |
TanyaSubramanian | 仿冒Facebook、WhatsApp、GooglePlay、Messenger、Instagram更新 |
update | 仿冒Facebook、WhatsApp、GooglePlay、Messenger、Instagram更新 |
Michonne | 卸载程序 |
TobinSpencer | 监控电量变化 |
LoriHarrison | 上传手机固件信息 |
MaggieChambler | 获取连接状态 |
SashaGreene | 发送申请状态 |
Barbara | 电话呼叫转移 |
JessieMonroe | 电话呼叫转移 |
LydiaAnderson | 手机回到主界面、可隐藏APP图标、设置隐藏时间等 |
DeannaAnderson | 上传录音 |
PatriciaKent | 上传手机各种文件 |
0 Comments
Leave A Reply