1. 概述

近些年来，移动互联网飞速发展，在移动APP为人们生活提供了大量的便利，同时也给了一些非法组织从事违法犯罪活动提供了渠道，今天我们介绍的是臭名昭著的APT-C-23（双尾蝎APT组织），这个组织代表哈马斯、某宗教原教旨主义运动，是一个针对中东地区相关国家的教育机构、军事机构等重要领域窃取敏感信息为主的网络攻击组织。随着技术的迭代更新，恶意程序具有更高的隐蔽性，攻击平台主要包括 Windows 与 Android。近几年国内外安全团队都有对此组织的活动的曝光。

近期，暗影实验室的态势感知平台捕获了几款此类的间谍软件,此类恶意程序仿冒成正常的交友聊天类软件，诱导用户下载安装并同意权限和无障碍通知，在注册使用时会根据安卓版本选择隐藏或更改应用图标，隐藏活动入口，防止用户主动杀后台，后台运行通过FCM（Firebase Cloud Messaging）消息传递和SMS短信并远程操控手机执行监听并上传用户隐私信息，会通过进行远控指令的下发。

主要间谍功能为：

• 获取用户手机通讯录
• 获取用户短信
• 获取指定格式的文件
• 获取图片
• 获取通话记录
• 获取安装应用列表
• 获取拦截聊天应用的通知消息通知
• 录音和通话录音
• 截屏
• 设置无线网络
• 调用系统相机拍照

2. 样本信息

恶意程序基本信息如下表：

表2-1 样本基本信息

恶意程序安装图标如下图：

恶意程序签名信息如下表：

表2-1 样本签名信息

3. 程序运行流程图

图3 程序运行流程图

4. 核心功能

4.1  仿冒聊天应用并获取权限

该恶意应用仿冒聊天类应用，诱导用户安装，并设置“android:targetSdkVersion="22"，仿冒GoolePlay一次性申请所有权限隐私权限。

图4-1-1 仿冒聊天应用并诱骗获取权限

使用钓鱼页面诱导用户FackeBook登录获取其账号密码。

图4-1-1 fackebook钓鱼页面

4.2  应用防护策略

恶意程序通过激活设备管理和后台隐藏，防止用户正常卸载和杀后台操作；通过隐藏或改变恶意程序桌面快捷方式，欺诈用户。

4.2.1 激活设备管理器

恶意程序，通过激活设备管理器，防止用户正常卸载。

图4-2-1-1 判断时候开启了设备管理器

图4-2-1-2 激活设备管理器

4.2.2 隐藏后台

恶意程序通过设置“excludeFromRecents="true"”属性，使后台运行程序对用户不可见，防止用户主动结束杀后台。

图4-2-2-1 隐藏后台应用

4.2.3 隐藏应用图标或改变应用图标

当用户进行注册此应用时，会弹出警告：提示将卸载此应用，实际是恶意软件将根据手机安卓版本选择更改图标或隐藏桌面快捷方式。

• 安卓10及以上版本，将随机更改成谷歌地图、Chrome、设置等图标。
• 安卓10以下版本，隐藏桌面快捷方式。

图4-2-3-1 卸载警告信息和更改快捷方式图标

在安卓10版本以下，恶意程序隐藏桌面快捷方式。

图4-2-3-2 判断系统版本

图4-2-3-3 隐藏桌面快捷方式

通过使用“activity-alias”设置应用Activity的别名，提供快捷入口和更改应用图标。

图4-2-3-4 设置别名

在安卓10及以上版本，图标将被替换成谷歌地图、Chrome、设置等图标。

图4-2-3-5 更改图标

4.3  监听获取用户隐私

恶意程序通过Google的FCM（Firebase Cloud Messaging）和短信执行远程控制指令。

4.3.1 短信远控指令

注册短信监听的广播。

图4-3-1-1 注册短信广播

通过正则表达式匹配短信内容。

图4-3-1-2 正则匹配短信

通过解析到的短信内容指令实现远控操作。

图4-3-1-3 短信的远控指令下发

短信指令和远控功能如下表：

表4-3-1 短信远控指令和功能

4.3.2 FCM远控指令

在清单文件中注册了FCM的服务。

图4-3-2-1 使用FCM框架

通过FCM消息传递解析对应参数(type)获取远控指令。

图4-3-2-2 解析FCM的通知参数

根据远程消息指令实现远控操作。

图4-3-1-3 FCM的远控指令下发

FCM框架的指令的功能和作用如下表：

表4-3-2 FCM远控指令和功能

4.4  主要间谍功能的实现

恶意程序的主要远程功能为：获取用户通讯录、获取短信、获取通话记录、获取图片、获取指定格式的文件、获取安装应用列表、拦截获取指定聊天软件的通知消息、通话录音、录音、截屏、调用系统相机拍照、启用WIFI等。

获取用户通讯录：

图4-4-1 获取用户通讯录

获取用户短信:

图4-4-2 获取用户短信

获取用户通话记录:

图4-4-3 获取用户通话记录

获取指定格式的文件(拓展名为pdf, doc, docs, ppt, pptx, xls, xlsx, txt, text):

图4-4-4 获取指定格式的文件

获取用户图片（拓展名为jpg, jpeg, png）:

图4-4-5 获取用户图片

录音功能:

图4-4-6 录音

通话录音功能:

图4-4-7 通话录音

获取已安装的应用列表:

图4-4-8 获取安装应用列表

获取应用通知通知消息并拦截（facebook、telegram、instagram、viber、skype、imo等）:

图4-4-9 获取其他聊天应用通知

截屏功能：

图4-4-10 获取手机截屏

调用系统相机拍照:

图4-4-11 使用系统相机拍照

设置WIFI状态:

图4-4-12 设置wifi

5. 服务器C2特征

通过分析发现恶意上传用户隐私信息使用的HTTPS通信，恶意软件通过将地址加密硬编码存放于“liboxygen.so”文件中，并通过解密后的地址返回动态加载真正的恶意地址。

图4-5-1 加载so

图4-5-2 服务器地址

分析函数找到硬编码的加密地址如下：

图4-5-3 地址硬编码

通过AES和Base64进行加解密：

图4-5-4 地址解密方法

还原解密主要代码：

图4-5-5 还原解密代码

解密后的中间地址：https://sites.***.com/view/virginia-****/****

图4-5-6 中间地址解密

通过中间地址动态返回内容匹配关联的字符串：

图4-5-7 匹配返回的字符串

通过返回匹配到的内容为：

图4-5-8 匹配到的字符串

处理匹配到的字符串获取真实的恶意地址：

图4-5-9 解析真实的恶意地址

解析出的真实URL地址为：https://fra******.com/version/

图4-5-10 真实的恶意地址

5. 修复方法

一旦中招，用户及时修改自己的个人账户和密码，尽快卸载该应用，用户可以通过以下三种方法进行卸载：

（1）立即关闭所有网络连接（断开手机移动网络和WLAN），在未删除APP前，建议禁止网络连接；

（2）在手机设置的应用信息中找到应用图标，点击卸载；

（3）如果以上方法都无法删除，备份一些重要数据到电脑，然后恢复出厂设置。如果不放心，也可选择重置手机，以此规避已经投放到手机上的恶意负载的攻击。

6. 安全建议

恒安嘉新暗影移动安全实验室在此提醒广大用户，不轻易相信陌生人，不轻易点击陌生人发送的链接，不轻易下载不安全应用，不安装非正规途径来源的APP。

谨慎打开未知短信的下载链接。

避免点击网页中的链接或下载附件。

仅从受信任的来源下载应用程序，建议去正规的应用市场或官方下载。