GoldenCup——針對以色列世界盃球迷的新網路威脅
以色列國防部官員稱近日發現一起針對以色列士兵的Android監視軟體惡意活動——Hamas。最新的樣本是ClearSky的安全研究人員發現的。
本研究中重點關注最新的樣本,一個世界盃前夕上線的名為Golden Cup的安卓應用。
傳播和感染
該惡意活動開始於2018年初,惡意軟體(GlanceLove/ WinkChat)主要通過虛假的Facebook簡介進行傳播,嘗試誘使IDF士兵在另外一個平台上進行社交活動,而這個平台就是惡意軟體。這個方法並不是那麼成功,最後一次嘗試是快速創建了一個World Cup應用,並且分發給以色列公民,而不僅僅是士兵。
官方Golden Cup的Facebook頁面,短鏈接會把用戶重定向到Google Play的應用頁。
研究人員認為開發者非常匆忙,因為缺乏任何有效的混淆,即使C&C伺服器端暴露了每個人都可以遍歷的文件,含有大約8G的被竊數據。
goldncup.com最近的whois查詢結果
工作原理
為了能成功地進入Google Play應用商店,惡意軟體使用了常用的一種階段化的方法。第一版的APP看起來是無害的,其中大多數的代碼執行是APP提供的功能。但APP會收集設備的ID和其他數據。
在從C&C伺服器接收到命令後,APP會下載一個.dex形式的惡意payload,.dex文件會動態地載入,並提供一些惡意能力。
利用這種方式,惡意軟體作者成功地將APP提交到Google Play應用商店。而惡意功能是動態載入的。
與C&C伺服器通信
為了與C&C伺服器通信,APP使用了MQTT(Message Queuing Telemetry Transport消息隊列遙測傳輸)協議,該協議使用TCP 1883埠。
初始化MQTT客戶端
APP會用硬編碼的用戶名和密碼以及唯一的設備ID來連接到MQTT代理上。
到代理的MQTT連接
MQTT通信主要是用於更新設備狀態,並且從C&C伺服器獲取命令。其中設備端用於發送消息,消息和命令中都含有設備ID。
HTTP通信
除了MQTT通信外,APP還會用明文HTTP通信來下載.dex文件和上傳收集的數據。
所有上傳和下載的文件都是zip文件格式,並使用AES的ECB模式加密。每個文件的key都是隨機生成的,並且保存在加密後的文件的固定偏移量中。
為了上傳文件,APP會與伺服器進行基本的REST通信,檢查文件是否存在,然後決定是否上傳。
文件的上傳路徑為:
http:///apps/d/p/op.php
通信是:
Phase 1
APP攻擊流的第一階段是收集設備信息和設備上安裝的APP列表。然後上傳到C&C HTTP伺服器。
基本設備信息收集
另外,這一階段APP可以處理的命令如下:
·Collect device info
·Install app
·Is online?
·Change server domain
在這些命令中,最有趣的命令是install app,該命令會下載含有第二階段dex文件的加密zip文件,然後解壓並載入。
Phase 2
二階段dex文件含有3個主要的服務:
·ConnManager – 處理到C&C伺服器的連接
·ReceiverManager – 等待調用或APP安裝
·TaskManager - 管理數據收集任務
C&C伺服器地址與Phase 1使用的不同,所以APP可以重新連接到新伺服器,並且開啟周期性的數據收集任務。
通過分析TaskManager類,可以看到支持這一階段的新命令:
從上面的代碼段,我們可以看出,有許多數據收集任務是可用的,包括:
·收集設備信息
·跟蹤位置
·上傳聯繫人信息
·上傳已發送和已接收的簡訊
·上傳圖片
·上傳視頻文件
·發送外部存儲的遞歸目錄
·上傳特定文件
·使用麥克風錄製音頻
·錄製通話
· 使用相機連續拍照
這些任務要麼是周期性的運行,要麼也可以在事件(例如來電)發生或從C&C伺服器獲得命令時運行。
緩解措施
不要從不熟悉的站點下載APP;
只安裝來自可信源的APP;
注意應用請求的許可權;
安裝手機安全助手;
及時更新操作系統;
對主要數據經常備份。
IoCs
包名:
com.winkchat
APK的SHA2:
166f3a863bb2b66bda9c76dccf9529d5237f6394721f46635b053870eb2fcc5a
b45defca452a640b303288131eb64c485f442aae0682a3c56489d24d59439b47
d9601735d674a9e55546fde0bffde235bc5f2546504b31799d874e8c31d5b6e9
2ce54d93510126fca83031f9521e40cd8460ae564d3d927e17bd63fb4cb20edc
67b1a1e7b505ac510322b9d4f4fc1e8a569d6d644582b588faccfeeaa4922cb7
1664cb343ee830fa94725fed143b119f7e2351307ed0ce04724b23469b9002f2
被載入的DEX文件的SHA2:
域名/IP地址:
goldncup[.]com
glancelove[.]com
autoandroidup[.]website
mobilestoreupdate[.]website
updatemobapp[.]website
107[.]175[.]144[.]26
192[.]64[.]114[.]147
※Malwarebytes Labs對SamSam勒索軟體的分析
※2018 WCTF 圓滿落幕 日本 TokyoWesterns 戰隊摘得桂冠
TAG:嘶吼RoarTalk |