freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

针对中东地区用户的APT变种样本分析报告
  • 关注
针对中东地区用户的APT变种样本分析报告
2021-12-28 17:03:32
所属地 北京

1. 概述

近期暗影移动安全实验室捕获了一款APT-C-23样本。APT-C-23 又被称为“双尾蝎”,在2017年首次被发现,这个组织针对巴勒斯坦等国家和地区。在此次捕获的样本中,我们发现此恶意软件名为“Google Play Installer”恶意程序,安装后伪装成Telegram应用程序类似的图标和界面。

该恶意软件在多个维度获取用户的各种隐私信息,在获取用户隐私信息中含有获取用户的联系人信息、短信、通话记录、图片、文档、以及音频文件。该恶意软件获取如此之多的用户信息可谓是全覆盖。

1640681891_61cad1a31db89dd859017.png!small?1640681891344

2. 样本信息

样本md5:DD4596CF68C85EB135F7E0AD763E5DAB

包名:org.Telegram.light

应用名称:Google Play Installer

3. 程序运行流程

该恶意应用在图标方面仿冒Telegram应用,诱导用户安装。安装完毕后在UI界面仿冒Telegram应用,诱导用户使用,在用户启动之后,在用户未知的情况下窃取用户各类隐私信息。

1640681897_61cad1a9bd2d1c1a1bba7.png!small?1640681898601

图 1 简略流程图

4.获取权限窃取用户隐私

4.1仿冒应用获取权限

4.1.1仿冒正规应用

该恶意应用从安装图标仿冒Telegram应用,诱导用户安装,从UI界面仿冒Telegram应用,骗取用户信任。

1640681909_61cad1b5b4b90e71a085c.png!small?1640681910264

图2 仿冒正规应用

4.1.2获取用户权限

在用户使用过程中利用Google Play诱导获取用户通知等权限,获取通知权限后,用户获取短信等行为时,该恶意软件可以直接读取用户短信等,为窃取用户隐私信息提供便利。

1640681920_61cad1c042cc4ff8355a5.png!small?1640681920750

图3 获取用户通知权限

4.2隐私窃取

该恶意程序私自获取用户隐私信息中含有获取用户的联系人信息、短信、通话记录、图片、文档、以及音频文件,并将获取到的用户信息上传到指定服务器。

4.2.1 窃取用户联系人信息

获取用户的联系人信息,其中包含用户的联系人的姓名、电话号码等信息。

1640681927_61cad1c77be8a1ff44f6f.png!small?1640681927761

图 4窃取用户联系人信息

4.2.2 窃取用户短信

获取用户短信的电话号码、短信内容。

1640681956_61cad1e4c3922537bc3b0.png!small?1640681957130

图 5窃取用户短信

4.2.3 窃取用户通话记录信息

获取用户的通话记录,包括电话号码、时间信息。

1640681965_61cad1edf35568a384cde.png!small?1640681966211

图 6窃取用户通话记录信息

4.2.4窃取用户图片信息

获取用户的图片信息,根据图片名称进行重命名,格式化成后缀.cam结尾的文件格式。

1640681975_61cad1f7efa5272579bc0.png!small?1640681976260

图7 窃取用户图片信息

4.2.5窃取用户指定类型文件

窃取用户的指定文件,包含pdf文件、doc文件、docx文件、ppt文件、pptx文件、xls文件、xlsx文件、txt文件、text文件等。

1640681986_61cad2027ae6b4b8e25cc.png!small?1640681986670

图8 窃取用户指定文件

4.2.6窃取用户音频信息

根据用户的音频信息,将音频信息进行格式话,形成以.np3结尾的文件格式。

1640681996_61cad20c7a9866112d5e6.png!small?1640681996769

图9 窃取用户音频信息

4.2.7上传窃取用户隐私信息

将获取用户的隐私信息上传到指定服务器。将窃取的用户隐私上传到不同的url当中。

https://S***T-C***N.COM/version/sms_received_full/

https://S***T-C***N.COM/version/sms_received_full/call_logs

1640682017_61cad221d9ee005b2b620.png!small?1640682018140


图10上传用户信息

4.3加密服务器地址

该恶意软件从so当中获取加密字符,对加密字符进行解密,解密后得到中间地址,并保存在SharedPreferences文件当中,对中间地址进行解密还原,得到服务器地址https://S***T-C***N.***/。

从so文件当中获取加密字符

1640682037_61cad23554513fe6bf2c9.png!small?1640682037531

图11获取加密字符串

调用解密方法,得到中间地址https://s***s.g***e.com/view/janx/about

服务器地址存放到本地SharedPreferences文件当中。

1640682044_61cad23c5dab4ded983cd.png!small?1640682044690

图12调用解密方法解密加密字符串


1640682060_61cad24c201f3d125fac9.png!small?1640682060568

图13保存中间地址到本地

根据中间地址:https://s***s.g***e.com/view/janx/about进行解密,得到服务器地址:https://S***T-C***N.COM/

1640682073_61cad2591e970105006d2.png!small?1640682073388

图14解密中间地址

5.总结

APT攻击是高级可持续威胁攻击,也称为定向威胁攻击,指某组织对特定对象展开的持续有效的攻击活动。该样本就是一个APT攻击样本,名为谷歌安装器,安装后又仿冒成Telegram应用程序类似的图标和界面,主要目的持续性的窃取用户的各种隐私信息,又通过远程服务器控制用户设备,执行远程控制指令,给用户设备安全造成严重的威胁。

恒安嘉新暗影移动安全实验室在此提醒广大用户,不轻易相信陌生人,不轻易点击陌生人发送的链接,不轻易下载不安全应用,不安装非正规途径来源的APP。

  • 安全从自身做起,建议用户在下载软件时,到正规的应用商店进行下载正版软件,避免从论坛等下载软件,可以有效的减少该类病毒的侵害;
  • 各大银行、各支付平台需要加强对各自支付转账渠道的监管,完善对用户资金转移等敏感操作的风控机制,防止被不法分子利用窃取用户网银财产;
  • 警惕各种借贷软件的套路,不要轻易使用借贷类App。
# 数据安全 # 恶意软件 # 网络攻击
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录
  • 4.1仿冒应用获取权限
  • 4.2隐私窃取
  • 4.3加密服务器地址