GravityRAT针对Android设备的间谍行为分析

概述：

GravityRAT是一款隐秘的间谍软件，从2016年开始就反复被用于针对印度的持续性攻击。在此期间，GravityRAT添加了很多新功能，尤其是文件渗透，远程命令执行，以及反VM技术，使其更难以检测，它可以非常快速地从受感染计算机中窃取大量数据，甚至可以扫描连接到受害设备的外部硬盘驱动器或USB，然后提取这些文件。之前GravityRAT比较注于计算机的恶意攻击，但是研究者发现该木马正增加针对macOS和Android平台的攻击。

近期，恒安嘉新暗影实验室App全景态势与情报溯源挖掘平台监测到一款名为爱欲故事（英文：Lust Stories）的恶意程序，研究人员分析发现该应用利用用户Android 设备的多个广播事件（开关飞行模，电量，充电状态，开关屏幕等）触发启动恶意服务，然后窃取用户短信箱信息、用户联系人信息、通话记录信息等，并上传至C2服务器，给用户个人隐私造成严重的威胁，同时，研究人员发现该样本GravityRAT家族类的特征，但样本代码并不复杂，推断是GravityRAT针对Android平台的早期版本，本文针对GravityRAT的间谍行为进行披露，防患于未然。

1. 样本信息

MD5：c7b8e65e5d04d5ffbc43ed7639a42a5f

包名：com.example.first

应用名：LustStories

安装图标：

2. 恶意行为综述

该应用以流行影视题材为应用名称，诱导用户安装使用。在用户的使用过程中恶意服务获取用户通话记录信息、用户短信箱信息、用户联系人信息等，并将获取的用户联系人信息、短信箱信息、通话记录信息等保存到指定的文件当中，恶意程序以设备的状态触发恶意服务的条件，通过相应状态的广播触发恶意服务，将包含用户信息的文件上传到指定服务器。

3. 运行流程图

该应用以流行影视题材为应用名称，诱导用户安装使用。用户安装后恶意服务获取用户通话记录信息、用户短信箱信息、用户联系人信息等，恶意程序以设备的状态为触发恶意服务的条件，通过相应状态的广播触发恶意服务，获取包含用户短信箱信息、用户联系人信息、用户通话记录信息等用户隐私文件。

图3-1 程序运行流程图

4. 技术原理分析

4.1 诱导用户安装

该应用以流行影视题材为应用名称，诱导用户安装使用，用户安装后可正常使用，用户打开界面获取所需信息。

图4-1 诱导用户安装

用户登录应用：

图4-2 用户登录

用户进入应用获取内容:

图4-3 向用户展示内容

4.2 程序加载运行

恶意程序启动恶意服务，恶意服务初始化远控地址，并将获取的信息上传到指定服务器。获取的用户信息前面添加了用户的IMEI字段，用来区分用户信息的来源。

1）恶意程序初始化远控地址：

图4-4 初始化远控地址

2）恶意服务远控地址:http://n2.norto***dates.online:64443 /FOXTROT/upload.php。

图4-5 远控地址

3）恶意服务在获取的用户信息前面添加用户IMEI字段，并将带有IMEI的用户信息上传到指定服务地址。

图4-6 上传带有IMEI的用户信息

4.3 恶意行为分析

恶意程序根据设备的状态发送对应的广播，发送对应的广播启动恶意服务，恶意服务获取用户通话记录信息、用户短信箱信息、用户联系人信息等，将获取的信息上传到指定服务器。

4.3.1 恶意程序启动恶意服务

恶意程序根据设备状态发送广播，发送对应动作广播，启动恶意服务。

1）恶意程序根据设备状态发送广播启动恶意服务。

2）设备关闭屏幕时，设备发送android.intent.action.SCREEN_OFF广播，启动恶意服务，获取用户通话记录、通讯录、短信等内容。

图4-8 屏幕关闭发送广播启动恶意服务

3）设备打开屏幕时，设备发送android.intent.action.SCREEN_ON广播，启动恶意服务，获取用户通话记录、通讯录、短信等内容。

图4-9 屏幕打开发送广播启动恶意服务

4）设备开关飞行模式时，设备发送android.intent.action.AIRPLANE_MODE广播，启动恶意服务，获取用户通话记录、通讯录、短信等内容。

图4-10 飞行模式开关发送广播启动恶意服务

5）设备电量过低时，设备发送android.intent.action.BATTERY_LOW广播，启动恶意服务，获取用户通话记录、通讯录、短信等内容。

图4-11 电量过低发送广播启动恶意服务

6）设备电量充足时，设备发送android.intent.action.BATTERY_OKAY广播，启动恶意服务，获取用户通话记录、通讯录、短信等内容。

图4-12 电量充足时发送广播启动恶意服务

7）设备修改日期时，设备发送android.intent.action.DATE_CHANGED广播，启动恶意服务，获取用户通话记录、通讯录、短信等内容。

图4-13 日期改变发送广播启动恶意服务

8）设备充电时，设备发送android.intent.action.ACTION_POWER_CONNECTED广播，启动恶意服务，获取用户通话记录、通讯录、短信等内容。

图4-14 设备充电发送广播启动恶意服务

9）设备断开充电，设备发送android.intent.action.ACTION_POWER_DISCONNECTED广播，启动恶意服务，获取用户通话记录、通讯录、短信等内容。

图4-15 断开电源发送广播启动恶意服务

4.3.2 恶意服务获取用户信息

恶意服务启动后获取用联系人信息、用户通话记录信息、用户sd目录信息、用户短信信息。

1）恶意服务获取用户联系人信息：

图4-16 获取用户联系人信息

将获取的联系人信息保存到cs.log当中：

图4-17 联系人信息保存到cs.log当中

2）恶意服务获取用户通话记录信息：

图4-18 获取用户通话记录

恶意服务将获取到的通话记录保存到cl.log当中：

图4-19 通话记录保存到cl.log当中

3）恶意服务获取用户sd当中的目录：

图4-20 获取用户sd目录

恶意服务将获取的sd目录信息保存到fsc.log当中：

图4-21 保存sd卡目录信息

4）恶意服务获取用户短信信息：

图4-22 获取用户短信信息

将获取的短信信息保存到ms.log当中：

图4-23 保存用户短信信息

4.3.3 上传用户隐私信息

恶意服务将获取的用户通讯、通话记录、短信上传到指定服务器。服务器地址是：http://n2.nor***pdates.online:64443/FOXTROT/upload.php。

图4-24 上传用户隐私信息

5. 扩展分析

5.1 关联域名

经远控域名关联分析，此域名还对应其他子域名：

5.2 域名注册更新时间

根据域名分析发现此域名域名在18年注册，并在2020年6月更新，此组织比较活跃。

5.3 域名访问量

根据最近的域名访问情况来看攻击行为一直持续存在。

6. 安全建议

• 用户安装所需软件，建议去正规的应用市场下载、去官方下载。

• 在手机当中安装必要的安全软件，并保持安全软件更新。

• 关注“暗影安全实验室”微信公众号，我们将持续关注安全事件。

7. 更多信息

恒安嘉新App全景态势与情报溯源挖掘平台能够检测出此次攻击事件的样本。

目前，恒安嘉新App全景态势与情报溯源挖掘平台针对300多家公开渠道以及非公开渠道进行持续的监测，支持App恶意程序、安全漏洞、违法违规收集使用用户个人信息，威胁内容等方面多维度检测，支持App全维度的情报数据提取，建立App丰富的情报库，并提供专业的检测报告，可以为移动应用开发商、运营商、公安等不同行业提供App安全漏洞检测，恶意程序检测，家族样本聚类，样本关联分析、黑产线索扩展、溯源，大屏展示等专业的服务，同时平台支持私有化部署、SaaS云服务部署。

声明：本文来自暗影安全实验室，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。