GoldenCup——針對以色列世界盃球迷的新網路威脅

以色列國防部官員稱近日發現一起針對以色列士兵的Android監視軟體惡意活動——Hamas。最新的樣本是ClearSky的安全研究人員發現的。

本研究中重點關注最新的樣本，一個世界盃前夕上線的名為Golden Cup的安卓應用。

傳播和感染

該惡意活動開始於2018年初，惡意軟體（GlanceLove/ WinkChat）主要通過虛假的Facebook簡介進行傳播，嘗試誘使IDF士兵在另外一個平台上進行社交活動，而這個平台就是惡意軟體。這個方法並不是那麼成功，最後一次嘗試是快速創建了一個World Cup應用，並且分發給以色列公民，而不僅僅是士兵。

官方Golden Cup的Facebook頁面，短鏈接會把用戶重定向到Google Play的應用頁。

研究人員認為開發者非常匆忙，因為缺乏任何有效的混淆，即使C&C伺服器端暴露了每個人都可以遍歷的文件，含有大約8G的被竊數據。

goldncup.com最近的whois查詢結果

工作原理

為了能成功地進入Google Play應用商店，惡意軟體使用了常用的一種階段化的方法。第一版的APP看起來是無害的，其中大多數的代碼執行是APP提供的功能。但APP會收集設備的ID和其他數據。

在從C&C伺服器接收到命令後，APP會下載一個.dex形式的惡意payload，.dex文件會動態地載入，並提供一些惡意能力。

利用這種方式，惡意軟體作者成功地將APP提交到Google Play應用商店。而惡意功能是動態載入的。

與C&C伺服器通信

為了與C&C伺服器通信，APP使用了MQTT（Message Queuing Telemetry Transport消息隊列遙測傳輸）協議，該協議使用TCP 1883埠。

初始化MQTT客戶端

APP會用硬編碼的用戶名和密碼以及唯一的設備ID來連接到MQTT代理上。

到代理的MQTT連接

MQTT通信主要是用於更新設備狀態，並且從C&C伺服器獲取命令。其中設備端用於發送消息，消息和命令中都含有設備ID。

HTTP通信

除了MQTT通信外，APP還會用明文HTTP通信來下載.dex文件和上傳收集的數據。

所有上傳和下載的文件都是zip文件格式，並使用AES的ECB模式加密。每個文件的key都是隨機生成的，並且保存在加密後的文件的固定偏移量中。

為了上傳文件，APP會與伺服器進行基本的REST通信，檢查文件是否存在，然後決定是否上傳。

文件的上傳路徑為：

http:///apps/d/p/op.php

通信是：

Phase 1

APP攻擊流的第一階段是收集設備信息和設備上安裝的APP列表。然後上傳到C&C HTTP伺服器。

基本設備信息收集

另外，這一階段APP可以處理的命令如下：

·Collect device info

·Install app

·Is online?

·Change server domain

在這些命令中，最有趣的命令是install app，該命令會下載含有第二階段dex文件的加密zip文件，然後解壓並載入。

Phase 2

二階段dex文件含有3個主要的服務：

·ConnManager – 處理到C&C伺服器的連接

·ReceiverManager – 等待調用或APP安裝

·TaskManager - 管理數據收集任務

C&C伺服器地址與Phase 1使用的不同，所以APP可以重新連接到新伺服器，並且開啟周期性的數據收集任務。

通過分析TaskManager類，可以看到支持這一階段的新命令：

從上面的代碼段，我們可以看出，有許多數據收集任務是可用的，包括：

·收集設備信息

·跟蹤位置

·上傳聯繫人信息

·上傳已發送和已接收的簡訊

·上傳圖片

·上傳視頻文件

·發送外部存儲的遞歸目錄

·上傳特定文件

·使用麥克風錄製音頻

·錄製通話

· 使用相機連續拍照

這些任務要麼是周期性的運行，要麼也可以在事件（例如來電）發生或從C＆C伺服器獲得命令時運行。

緩解措施

不要從不熟悉的站點下載APP；

只安裝來自可信源的APP；

注意應用請求的許可權；

安裝手機安全助手；

及時更新操作系統；

對主要數據經常備份。

IoCs

包名：

com.winkchat

APK的SHA2：

166f3a863bb2b66bda9c76dccf9529d5237f6394721f46635b053870eb2fcc5a

b45defca452a640b303288131eb64c485f442aae0682a3c56489d24d59439b47

d9601735d674a9e55546fde0bffde235bc5f2546504b31799d874e8c31d5b6e9

2ce54d93510126fca83031f9521e40cd8460ae564d3d927e17bd63fb4cb20edc

67b1a1e7b505ac510322b9d4f4fc1e8a569d6d644582b588faccfeeaa4922cb7

1664cb343ee830fa94725fed143b119f7e2351307ed0ce04724b23469b9002f2

被載入的DEX文件的SHA2：

域名/IP地址：

goldncup[.]com

glancelove[.]com

autoandroidup[.]website

mobilestoreupdate[.]website

updatemobapp[.]website

107[.]175[.]144[.]26

192[.]64[.]114[.]147

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！