点击蓝字
关注我们
1. 背景概述
2. 样本分析
图2-1 样本基本信息
图2-2 样本包结构
|
远控指令 |
功能 |
|
clipboard |
窃取粘贴板数据 |
|
device_info |
窃取设备信息 |
|
call_recorder_start |
开始通话录音 |
|
client_not_found |
发送未找到客户端请求 |
|
camera_selfie |
使用前置摄像头拍照 |
|
stop_audio |
关闭录音 |
|
contacts |
窃取通讯录信息 |
|
messages |
窃取短信内容 |
|
keylogger_stop |
停止记录键盘输入日志 |
|
apps |
窃取应用列表 |
|
ping |
检测websocket连通性 |
|
calls |
窃取通话日志 |
|
vibrate |
设备震动 |
|
take_screenshot |
私自截屏 |
|
keylogger_start |
开始记录键盘输入日志 |
|
location |
获取位置信息 |
|
call_recorder_stop |
停止通话录音 |
|
camera_main |
后置摄像头拍照并以png格式保存 |
|
delete_file |
删除指定路径文件 |
|
send_message |
向指定手机号发送短信 |
|
file_explorer |
获取文件列表 |
|
file |
判断手机是否Root并上传指定路径文件 |
|
toast |
显示一条Toast信息 |
|
send_message_to_all |
向通讯录所有联系人发送短信 |
|
microphone |
录音 |
|
change_device_name |
更改设备名字 |
|
screen_record |
记录屏幕信息 |
|
play_audio |
播放音频 |
|
show_notification |
显示通知栏信息 |
表1 远控指令及功能列表
样本的数据回传服务器地址存储在AppTools类中,采用base64算法进行编码。
图2-3 编码后C2地址
解码后得到C2服务器地址及一个视频播放页面如下:
https://bottestingreplit.osamakarim.repl.co/
https://www.movies-watch.com.pk/
访问https://www.movies-watch.com.pk/,是一个名为“Movies Watch online”的视频播放网站,pk.域名归属为巴基斯坦。
图2-4 movieswatchonline网站
图2-5 TGBot上存储受害者数据
■ 对比DogRat开源间谍木马特征变化
根据样本数据回传方式及流量特征,判断样本基于DogRat开源间谍木马开发而来。攻击者对样本的代码特征做了修改,在对比两者静态代码后,发现远控指令和恶意功能模块均有部分差异。
图2-6 包结构对比
图2-7 远控模块对比
3. 同源样本
通过对该样本的代码特征进行同源检索,在安天移动样本库中发现一例同源样本。同源样本基本情况如下,经分析恶意功能无变化,C2服务器地址与原样本一致。
图3-1 同源样本基本信息
4. 受害者情况
图4-1 受害数据存储文件夹
图4-2 短信息
图4-3 文档粘贴板数据
图4-4 通讯录信息
图4-5 录音文件
图4-6 设备信息
图4-7 视频文件
图4-8 通话记录
图4-9 装机列表
图4-10 图片数据
图4-11 巴基斯坦海关税务部门相关文件
图4-12 疑似攻击者测试样本的截图信息
5.总结与建议
建 议
从官方及第三方可信渠道下载安装应用程序
安装应用时审查权限信息,谨慎授权某个应用访问不相关的权限
· https://bottestingreplit.osamakarim.repl.co/
· https://www.movies-watch.com.pk/
end
“
推荐阅读
/////
关于安天移动安全
武汉安天信息技术有限责任公司(简称安天移动安全)成立于 2010 年,是安天科技集团旗下专注于移动智能用户生态安全防护的科技公司。自主创新的移动反病毒引擎,在 2013 年以全年最高平均检出率荣获 AV-TEST“移动设备最佳防护”奖,实现了亚洲安全厂商在全球顶级安全测评领域重量级奖项零的突破。经过十余年的发展与积累,公司的反病毒引擎产品已与移动终端设备厂商、移动应用开发者、运营商、监管部门等移动设备产业链上下游企业机构伙伴成功合作,为全球超 30 亿移动智能终端设备提供全维度、全生命周期安全护航,已发展成为全球领先的移动互联网安全防护厂商。安天移动安全始终秉承安全普惠使命,通过自主创新国际领先的安全核心技术,与产业链各方共同打造操作系统内生安全的绿色生态链,为新时代用户打造国民级安全产品,在万物互联时代营造更安全和可持续的全场景健康数字体验。
关于安天移动威胁情报团队
安天移动威胁情报团队致力于移动APT活动研究及移动安全攻防对抗技术研究,由一支拥有前沿移动端安全对抗技术、多年境外APT组织实战对抗经验、漏洞分析与挖掘能力的一流安全工程师团队组成。在近些年,成功通过基于安天移动样本大数据的APT特马风控预警运营体系,持续发现包含肚脑虫、利刃鹰、APT37等多个APT组织的移动端攻击活动,并依托该体系建立了一线移动端攻击活动的捕获能力、拓线溯源分析能力。安天移动威胁情报团队未来将仍持续专注于移动安全领域研究,以安全普惠为核心价值观,建设一支召之即来,来之能战,战之必胜的顶尖网络安全团队,并将长久且坚定地维护移动网络世界安全。
原文始发于微信公众号(安天AVL威胁情报中心):伪装成MoviesWatch针对巴基斯坦地区隐蔽攻击活动分析
