背景
Gaza Cybergang又名Gaza黑客军团,是一个使用阿拉伯语且有政治动机的网络犯罪组织。其进行情报收集的主要地区位于中东和北非(MENA),特别是巴勒斯坦领土。包括卡巴斯基在内的多家安全厂商都曾对其在PC平台的鱼叉攻击行为发布过多篇报告,但是尚未有安全厂商对该组织在移动平台的犯罪活动进行披露,随着移动平台的日益重要和情报价值的进一步凸显,*L移动安全团队注意到一起由该组织实施的移动端攻击行为,并捕获了一系列恶意代码。下面,*L安天移动安全将以此事件为蓝本进行具体分析说明,希望能对于这期MAPT行为进行深度还原,为基于移动平台的高级持续性威胁防范提供防御借鉴思路。
样本时间线
样本概述
从*L安天移动安全捕获的恶意样本编译时间看来,恶意代码主要活动于2015年11月到2017年12月这段时间,持续了大约两年时间,并且从样本的代码风格和技术演变上来看,大体可以分为两组样本。两组样本都包含间谍软件的基本功能——隐私窃取功能,这包括:通话记录和录音、地理位置、短信、浏览器记录、启用摄像头拍照和手机中存储的各种文档等信息,但是两组样本前后两年间在窃取的隐私内容和上传方式上基本没有发生变化,仅仅只是混淆和加密程度有所加强,以及分发策略做了不同的调整,这也是我们进行归类的一个原因。PHP大马
我们捕获到的所有此系列样本,都会使用如下图所示的这种RESTful API的方式进行http通信,区别在于早期的通信过程没有对字段进行混淆,衍化版本中对这些内容做了混淆处理。
通过安天内部的样本大数据搜索引擎,我们发现有这样一个字符串“945673128”反复出现在了这组攻击的样本中,这个字符串被用于在通过IMEI等信息来生成标识当前宿主设备的UserId信息。可以观察出该字符串带有明确的唯一性,但是由于缺少更多信息,是否具备特殊含义或者象征意义,尚无法确定,但是这并不妨碍我们利用该字符串进行对应的样本关联,并且以此作为关联的一个强特征。天天好彩