以中东地区军事数据为目标:移动网络间谍活动“Bouncing Golf”分析

概述

近期,我们发现了针对中东地区国家的网络间谍活动。我们根据名为“golf”的软件包中的代码,将该恶意活动命名为“Bouncing Golf”。Trend Micro检测到其中包含的恶意软件名称为“AndroidOS_GolfSpy.HRX”,该恶意软件由于其广泛的网络间谍功能而闻名。恶意运营者使用合法的应用程序,将恶意代码嵌入到其中,再进行重新封装。我们对Bouncing Golf使用的命令和控制(C&C)服务器进行监控,到目前为止,我们已经观察到超过660台Android设备感染了GolfSpy。攻击者所窃取的大部分信息似乎都与军事有关。

该恶意活动的攻击媒介也非常有趣。这些重新封装的恶意软件应用程序不会被投放到Google Play,也不会投放在流行的第三方应用程序市场,我们在对GolfSpy的传播过程进行分析时,发现该恶意应用只出现在托管恶意应用程序的网站上,并通过社交媒体来传播。此外,我们还分析了一些来自于Trend Micro移动应用程序信誉服务的GolfSpy样本。

另外值得注意的是,Bouncing Golf可能与先前报道的移动网络间谍活动相关,研究人员将其称为Domestic Kitten。举例来说,二者代码串的接口类似,针对盗窃的数据也具有类似的格式。

GolfSpy的感染链:PHP大马

以中东地区军事数据为目标:移动网络间谍活动“Bouncing Golf”分析

GolfSpy的潜在影响

考虑到GolfSpy具有信息窃取的功能,这类恶意软件可以有效地劫持受感染的Android设备。下面是GolfSpy窃取的信息列表:

1、设备帐户;

2、设备中安装的应用程序列表;

3、设备当前正在运行的进程;

4、电池状态;

5、设备默认浏览器的书签/历史记录;

6、呼叫日志和记录;

7、剪贴板内容;

8、联系人(包括VCard格式的联系人);

9、移动运营商信息;

10、存储在SD卡上的文件;

11、设备位置;

12、存储在设备上的图像、音频、视频文件列表;

13、存储卡和内存信息;

14、网络连接信息;

15、传感器信息;

16、短信息;

17、图片。

此外,GolfSpy还具有一个功能,可以连接到远程服务器以获取命令并执行,其中的命令包括搜索、列出文件、删除文件、重命名文件、将文件下载到设备中、从设备中检索文件、截图、安装其他应用程序包(APK)、录制音频和视频、更新恶意软件。

技术分析

重新封装后的应用程序中嵌入了恶意代码,可以在com.golf包中找到。这些重新封装的应用程序覆盖了中东地区常用的通信、新闻、生活方式、阅读和参考类的应用程序。在应用程序中嵌入的GolfSpy恶意软件使用攻击者定义的内部名称进行硬编码。

Bouncing Golf的恶意运营者重新封装的应用程序图标(上方)与原始合法应用程序的图标(左下角)和GolfSpy恶意软件(右下角)的软件包对比:

以中东地区军事数据为目标:移动网络间谍活动“Bouncing Golf”分析

以中东地区军事数据为目标:移动网络间谍活动“Bouncing Golf”分析

使用自定义算法编码的GolfSpy配置(右侧)及其解码后版本(左侧):

以中东地区军事数据为目标:移动网络间谍活动“Bouncing Golf”分析

如上图所示,GolfSpyd的配置(例如:C&C服务器、Secret Keys)由定制的算法进行编码。在恶意软件启动后,GolfSpy将为受影响的设备生成一个唯一的ID,然后以特定的格式收集受害者数据。例如,短信息、联系人列表、位置和帐户,其收集的格式为“%,[],time”(如下图所示)。这些收集到的信息将会被写入到设备上的文件之中。攻击者可以选择要收集的数据类型,这些数据类型是以特定的格式编写。

显示生成UUID的GolfSpy的代码片段:奇热影视

以中东地区军事数据为目标:移动网络间谍活动“Bouncing Golf”分析

%的取值范围是1-9或a-j,每个值表示从设备窃取的不同类型数据,其对应关系如下:

1:帐户

2:已安装的APP列表

3:运行进程列表

4:电池状态

5:浏览器书签和历史记录

6:通话记录

7:剪贴板

8:通讯录

9:移动运营商信息

a:SD卡上的文件列表

b:位置

c:图像列表

d:音频列表

e:视频列表

f:存储和内存信息

g:连接信息

h:传感器信息

i:短信息

j:VCard格式的通讯录

下面展示了监控和记录设备进行呼叫时所涉及的代码片段。当用户唤醒设备时,恶意软件还会使用设备的前置摄像头进行拍照。

除了收集上述数据之外,间谍软件还会监控用户的电话,并对其进行记录,将录制的文件保存在设备上。GolfSpy使用预先配置的密钥进行简单的XOR操作,以此来加密所有窃取的数据,然后使用HTTP POST方法将其发送到C&C服务器。

左上方的代码片段展示了GolfSpy如何通过注册接收器(Receiver)来监控电话呼叫,由上展示了在设备唤醒时进行的操作,下方展示了如何加密被盗的数据。

以中东地区军事数据为目标:移动网络间谍活动“Bouncing Golf”分析

恶意软件借助HTTP协议从C&C服务器上检索命令,攻击者可以窃取受感染设备上的特定文件。该命令是一个特殊构造的字符串,使用“<DEL>”作为分隔符,共分为三个部分。第一部分是目标目录,第二部分是用于匹配特定文件的正则表达式,而最后一部分则是ID。

从受感染设备的应用程序窃取特定文件的命令示例(上方)以及GolfSpy的解析和执行命令(下方):

以中东地区军事数据为目标:移动网络间谍活动“Bouncing Golf”分析

除了HTTP POST方法外,GolfSpy还创建与远程C&C服务器的Socket连接,以便接收和执行其他命令。被窃取的数据也将被加密,并通过Socket连接发送到C&C服务器。在这里使用的加密密钥与通过HTTP发送被窃取数据的密钥不同。

攻击者可以通过Socket连接执行的附加命令,以及用于加密被窃取数据的密钥:

以中东地区军事数据为目标:移动网络间谍活动“Bouncing Golf”分析

与Bouncing Golf相关的恶意活动

我们监控了与Bouncing Golf相关的C&C活动,发现该恶意活动在撰写本文时已经影响了超过660台设备。鉴于此恶意活动的性质,我们可以理解该活动仅发起了小范围或有限数量的攻击,但我们预测该恶意活动将会扩大影响范围,甚至有可能会出现多样化的态势。目前,大多数受影响的设备都位于中东,且我们发现的许多被窃取的数据都与军事有关,例如军事相关的图像和文件。

Bouncing Golf的恶意运营者也在试图掩盖他们的痕迹。例如,恶意活动中使用的C&C域名的注册者详细联系信息已经被屏蔽。恶意活动中使用的C&C服务器的IP地址似乎也完全没有相互关联性,它们位于许多欧洲国家,例如俄罗斯、法国、荷兰和德国。

尽管目前并没有明确的相关性证据,但我们发现Bouncing Golf似乎与Domestic Kitten有关,因为我们在二者的代码之中发现了相似之处。例如,二者所部署的Android恶意软件都具有相同的代码字符串,用于其解码算法之中。Domestic Kitten窃取的数据遵循与Bouncing Golf类似的格式,每种类型的数据都具有独特的识别字符。同样值得注意的是,这两个恶意活动都会重新封装目标国家用户经常使用的应用程序,例如Telegram、Kik和Plus消息应用。

根据代码片段,我们发现Bouncing Golf和Domestic Kitten使用相同的解码算法(上方),Domestic Kitten恶意软件窃取信息的数据格式与Bouncing Golf相同(中部),并且Bouncing Golf和Domestic Kitten都在命令字符串中使用“<DEL>”作为分隔符(分别位于左下方和右下方)。

以中东地区军事数据为目标:移动网络间谍活动“Bouncing Golf”分析

正如我们在去年的移动威胁形势中所看到的那样,我们预计今年会有更多针对移动平台的网络间谍活动,因为它无处不在,并且采用已经成熟的技术来吸引安全意识较低的用户。这类威胁可以窃取的信息类型范围也很广,因为它可以让攻击者远程接管受感染的设备。作为用户,应该采用最佳实践方案;作为组织,应该确保其开发的应用程序充分权衡移动便捷性与安全性。

最终用户和企业也可以选用多层移动安全解决方案,例如“移动安全Android”(可在Google Play下载)。同时,Trend Micro的移动安全企业版可以提供设备、合规性、应用程序管理、数据保护、配置保护,并可以保护设备免受漏洞利用的攻击,防止未经授权访问应用程序,检测并阻止恶意软件和欺诈性网站。Trend Micro的移动应用程序信誉服务(MARS)使用领先的沙盒和机器学习技术,防御Android和iOS威胁,保护设备免受恶意软件、0-Day漏洞攻击、已知漏洞攻击、隐私泄露和应用程序漏洞的威胁。

IoC

与Bouncing Golf相关的C&C IP地址和域名:

185[.]183[.]99[.]116

190[.]2[.]130[.]53

194[.]187[.]249[.]134

212[.]8[.]248[.]179

54[.]38[.]51[.]159

82[.]211[.]31[.]181

84[.]234[.]96[.]167

androidsmedia[.]com

androidssystem[.]com

mediadownload[.]space

mediamobilereg[.]com

secandroid[.]com

sharpion[.]org

shileyfetwell[.]com

恶意应用程序名称、版本、内部名称及SHA-256列表:

https://documents.trendmicro.com/assets/appendix-mobile-cyberespionage-campaign-bouncing-golf-affects-middle-east.pdf

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值