路过可以关注一下
#APT攻击# 双尾蝎组织动态,针对巴勒斯坦人的攻击第二弹
第一弹之前也写过,可见下
本期仍然强调该组织在20多个国家或地区注册了数百个域名,并感染了数千个受害者。
攻击手法
该组织一如既往的爱进行APK伪装,其中伪装的恶意程序特点:
1)
聊天应用程序,如Chat Me,Chatous,Go Chat,Love Chat,MeetMe,SendBird,SoChat,VoiceChat,WeChat和WhispersTalk以及类似的应用程序。
2)
显示WhatsApp,Facebook,Skype和Telegram等热门应用程序的更新状态。
需要强调的是,该组织能够将部分恶意软件上传到Google Play。 为了提高感染率,他们有两种主要的分发方法。 第一个是通过短信,其中包含指向Google云端硬盘的网址或托管APK的C&C域名。 第二种方法是将他们的应用程序上传到第三方商店。 目前在7家不同的第三方商店发现了“Zee Player”,也是上一弹的主要研究对象。这些第三方商店是并不能判断是否恶意,甚至是与该组织存在合作,因为其中一些只是从Google Play中搜集到的,而其他商店只是互相copy。
命令传输方面:
两种将消息推送到应用程序的方法。
1)利用Firebase云消息传递。(https://firebase.google.com/docs/cloud-messaging/ )只是 Google提供的免费云服务,允许应用开发人员轻松,高可靠地在各种平台上向用户发送通知和消息。同时其兼备多种免费分析工具可方便攻击者使用。
2) 利用短信命令传输作为备份。
为了当受害者没有联网的情况下,还可以进行操作,如图,命令17342,17322,17323等结尾的会执行指定命令
下面为上面两种方式的具体运用流程。
当应用程序第一次启动时,它会与预定义的C&C服务器通信,该服务器会返回另一个C&C服务器地址。详细返回的C&C服务器地址可见附录,有超过100个。
获取更新的域后,应用程序会去发送其FCM令牌,以便允许C&C服务器利用FCM向应用程序发送命令。
还有上面提及的信息传输方案。
图示如下。
下面是命令列表。
安装命令
当接收到安装其它APK的命令时,会弹出更新其它热门APP的提示,这招还行,涉及的更新APP有 Facebook, WhatsApp, Google Play, Instagram 和Messenger。
恶意软件会卸载自己,尽管各种各样的版本可能会导致一些混乱。
新增技术手段
1)
开始请求设备管理员权限
2)
获取USSD码服务,攻击者使用USSD作为检索电话号码的方法,并添加辅助服务,以捕获从USSD代码生成的警报对话框,然后定位是否为“056” (Wataniya) 或“059” (Jawwal),这都是巴勒斯坦的号码前缀
上图为辅助功能,下图为判断USSD码
3)
应用程序许可 - 在恶意软件样本中看到权限“com.android.vending.CHECK_LICENSE”非常奇怪。 它没有正确实现,目的不是很清楚,也许是为了得到Google Play的许可(仅适用于来自商店的应用,也许是某种使用APK扩展文件的方案)
4)
电源管理 - REQUEST_IGNORE_BATTERY_OPTIMIZATIONS - 此权限的目的是免除电源管理功能,即将恶意软件添加到白名单,以便在恶意软件电池使用率高的情况下不会通知受害者。
5)
CacheCleaner - 攻击者创建了一个维护任务,删除临时文件,以便在上传数据之前始终有足够的空间用于上传:
它还尝试以随机数Mb的愚蠢方式释放内存:(骚)
以上,ioc看下面链接。
相关链接
https://www.symantec.com/blogs/expert-perspectives/ongoing-android-malware-campaign-targets-palestinians-part-2
IOC网址
https://content.connect.symantec.com/sites/default/files/2018-08/APT-C-23%20IOCs_0.pdf
最后附上封面灵魂P图↓