背景介绍

肚脑虫(APT-C-35),由奇安信高级威胁研究团队持续跟踪发现并命名,其主要针对巴基斯坦等南亚地区国家进行网络间谍活动的组织。该组织主要针对政府机构等领域进行攻击,其中以窃取敏感信息为主。

自第一次发现该组织的攻击活动以来,奇安信威胁情报中心对该组织一直保持着持续跟踪,近期发现了其包名为com.tencent.mm(微信包名)最新的移动样本,相比于之前发现的Donot(肚脑虫)移动端程序,此次发现的程序对其代码结构进行了调整,但其C&C和功能方面依然保持了之前Donot(肚脑虫)的风格。

同时在此期间也发现了在早期版本框架基础上修改的新样本,主要是对获取C&C的方式做了改变,其舍弃硬编码C&C方式,利用Google Docs(谷歌在线文档编辑系统)的方式来灵活改变C&C信息。

诱饵分析

此次发现的名为” SafeShareV67”的移动app使用了腾讯微信包名(com.tencent.mm),其通过使用正规app的包名来伪装自己,其真实意图还未可知。同时对其代码框架分析,发现此次结构调整非常大,也对部分功能代码进行了混淆。可以大致判定此样本是经过精心准备的。

并且发现该样本上传地印度:

样本分析

我们所分析的样本基本信息如下:

文件名称

SafeShareV67.apk

软件名称

Android Database Library

软件包名

com.tencent.mm

MD5

7BB0B6EB3383BE5CEC4B2EABF273C7F9

安装图标

样本行为描述

该恶意样本名称为“Android Database Library”(其包名为微信包名),通过伪装为Android数据库组件来诱骗用户安装使用,从而可以进一步实施恶意行为;样本运行后会弹出是否开启辅助功能设置框,并会隐藏自身图标,使用户放松警惕,从而达到保护自身的目的;恶意样本在用户手机运行后,会定时从固定服务端获取远程控制指令,从而实现不同的恶意功能,其相关的远控操作有:获取用户手机通话记录信息、获取用户手机通讯录信息、获取用户手机短信息、获取App输入的内容信息、获取外置存储卡文件列表信息、获取用户手机已安装软件列表等;恶意软件会将获取的用户信息保存在本地文件夹下,并上传至服务器。

样本基本信息

样本安装图标:

运行界面:

样本申请权限列表

详细分析过程

诱骗用户运行并误导用户此程序为正常程序

通过伪装为Android数据库组件来诱导用户点击”OK”,同时跳转到系统的辅助功能界面,然后在后台运行程序。这样操作能误导用户认为此程序是一个android组件程序。

隐藏图标保护自身

样本运行以后则会隐藏删除自身图标,使用户放松警惕,从而达到保护自身的目的。

根据服务端下发的控制指令,进行相关的恶意操作

恶意样本在手机中运行后,会定时从服务端获取远程控制指令,从而实现不同的恶意功能,其相关的远控操作有:获取用户手机通话记录信息、获取用户手机通讯录信息、获取用户手机短信息、获取App输入的内容信息、获取外置存储卡文件列表信息、获取用户手机已安装软件列表等;恶意软件会将获取的用户信息保存在本地文件夹下,并上传至服务器。

1)定时从服务器中获取远控指令信息:

2)对指令信息进行解析并下发对应的指令操作:

3)相关的指令操作:

指令

指令功能

Call

获取用户手机通话记录信息

CT

获取用户手机通讯录信息

SMS

获取用户手机短信息

Key

获取App输入的内容信息

Tree

获取外置存储卡文件列表信息

AC

获取Account信息

Net

获取WiFi、设备厂商等信息

CR

设置用户手机电话通话录音

LR

设定特定时间段录音

FS

文件上传开关

GP

获取地理位置信息

PK

获取用户手机已安装软件列表

CE

获取日历事件信息

Wapp

获取whatsapp聊天信息

指令Call:获取用户手机通话记录信息

指令CT:获取手机通讯录信息

指令SMS:获取用户手机短信息

指令Key:获取App输入的内容信息

指令Tree:获取外置存储卡文件列表信息

指令AC:获取Account信息

指令Net:获取WiFi、设备厂商等信息

指令CR:设置用户手机电话通话录音

指令LR:设定特定时间段录音

指令FS:文件上传开关

指令GP:获取地理位置信息

指令PK:获取用户手机已安装软件列表

指令CE:获取日历事件信息

指令Wapp:获取whatsapp聊天信息

老框架新方式

近期奇安信红雨滴团队捕获到了Donot(肚脑虫)移动样本在老框架上利用GoogleDocs(谷歌在线文档编辑系统)的方式来获取C&C信息,此方法能更灵活的改变C&C信息。同时奇安信红雨滴团队在第一时间对其利用方式进行了披露:

样本信息:

文件名称

Sikh Net.apk

软件名称

Sikh Net

软件包名

com.system.android.sikhnet

MD5

1278A5F65FC0C4A3BABFFCF1117DB1C0

安装图标

其样本的代码框架沿用了最早期的版本,如下图所示:

其主要在获取C&C的方式进行了改变,早期样本都是直接硬编码C&C信息,而新捕获到的样本利用GoogleDocs(谷歌在线文档编辑系统)的方式来获取C&C信息,这样就能灵活修改C&C信息。此种方式获取C&C信息,是Donot家族系列中首次使用。

最新获取C&C方式:

早期的硬编码写入C&C方式:

使用浏览器访问https://docs.google.com/uc?id=0B1RDq_Zx683GbDVBTmpWbFFuaDg后,则会提示保存file.txt的文件。

下载file.txt后,发现其保存了其真实的远控服务器信息(151.236.11.222:50240)。

工具演进

近期捕获的Donot(肚脑虫)样本与之前的历史框架进行比对发现,其框架在近期做了较大的调整。同时在最新发现的样本中,发现其在早期版本中利用Google Docs(谷歌在线文档编辑系统)的方式来获取C&C信息。

代码对比:

总结

从本次捕获到的Donot(肚脑虫,APT-C-35)APT样本来看,该APT团伙依然以巴基斯坦相关人士作为首要攻击目标。通过其对代码框架的改变及在老版本利用Google Docs的方式来看,或许近期将发起新一波的网络间谍活动。

奇安信威胁情报中心红雨滴团队将继续关注DonotAPT组织的最新进展。

IOC

MD5:

7BB0B6EB3383BE5CEC4B2EABF273C7F9

103CFBC4F61DD642F9F44B8248545831

1278A5F65FC0C4A3BABFFCF1117DB1C0

C&C

whynotworkonit.top

genwar.drivethrough.top

151.236.11.222:50240

参考信息

[1]https://ti.qianxin.com/blog/articles/stealjob-new-android-malware-used-by-donot-apt-group/

[2]https://twitter.com/RedDrip7/status/1145539943323717632

声明:本文来自奇安信威胁情报中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。