前言

2016年9月，安全厂商Cyberkov发布了名为利比亚天蝎的安全报告[1]，报告中指出，一批恶意软件通过社交程序Telegram广泛传播，主要针对有影响力的社会名流和政治人士。当时，安天移动安全和猎豹移动进行了持续跟进，并发现该恶意软件进行了持续的更新和改进，攻击的目标国家也从利比亚转移到了其他国家和地区。该系列恶意软件根据不同的攻击目标进行精心的伪装，充分了解攻击目标的风俗文化和手机使用习惯，诱导目标群体安装，获取大量的隐私信息，具有很高的组织性和隐蔽性，以下我们将对该攻击进行详细的说明，以期能够对事件尽可能的勾勒。

1.简要分析

安天移动安全与猎豹移动联合发现的这批恶意软件，皆为商业RAT软件，主要分类有JSocket RAT ,Droidjack RAT ,Alienspy RAT，该组织通过这些商业RAT软件攻击目标用户，实施隐私窃取。其仿冒对象有系统应用、工具应用、生活应用、新闻应用、宗教应用、社交应用等，并对攻击目标有着深入的了解，具体如下表所示。

通过捕获的样本可以发现该系列病毒除了攻击利比亚地区，还活跃在伊拉克、巴基斯坦、印度、土耳其等国家和地区。可见，该组织有着广泛的利益诉求，对热点地区有着深入的关注。

2.攻击事件轴

该组织的主要活动时间为2015-2016年，在对利比亚目标进行攻击的同时，也进行着其他地区的情报窃取，是一起有着广泛传播的事件。同时我们也观察到，在沉寂一段时间之后，该组织下的恶意软件又开始活跃。

3.恶意代码原理分析

MD5：D555FB8B02D7CC7D810F7D65EFE909A0

恶意模块包结构：

通过MainActivity加载Controller类：

Controller这个类为主要恶意类，用于解密出C&C地址和初始化并加载隐私窃取的恶意子模块：

私自摄像：

子模块包括窃取用户短信、联系人、通话记录、地理位置、浏览器历史记录、手机基本信息、WhatsApp软件信息记录，私自录音、监听通话、驻留手机系统等行为。

JSocket RAT 原理分析

MD5：3FDCB70A70571A5745F4EE803443FEBC

该应用一般会在AM文件设置一个广播和服务用于启动恶意模块：

恶意模块包结构：

通过MainService开启主要攻击线程：

从C&C接收远控指令，解析指令执行相应恶意行为：

指令包括窃取短信、联系人信息、通话记录、浏览器书签、GPS地理位置信息、wifi信息、手机设备基本信息、社交应用信息，私自录音、录像、拍照、下载其他软件、发送短信等行为。

4.总结

近几年，移动端的定向攻击越来越多，商业间谍软件的低门槛化也使得攻击门槛有了大幅的降低。获取高价值的具有个人身份属性的信息，成为恶意攻击中的重要一环；与此同时，由于移动设备的边界属性和高社会、高隐私属性，一旦攻击成功，极有可能导致攻击结果出现雪崩效应，损失不断扩大。

而针对高价值用户进行的定向攻击往往是移动威胁对抗中的经典长尾问题，尾部安全事件由于其受众明确、攻击意图直接、涉及用户重度隐私的特点，往往给目标受害群体带来了不可估量的损失。对此安全厂商更需要密切关注并持续提升长尾威胁的对抗能力，真正为用户侧的移动安全保驾护航。

参考资料：[1] https://cyberkov.com/wp-content/uploads/2016/09/Hunting-Libyan-Scorpions-EN.pdf

*本文作者：AVLTeam，转载请注明来自FreeBuf.COM