一、受影响情况
在本次攻击活动中,我们监测到的攻击最早开始于2023年3月,并且一直持续到8月份。受影响地区主要为印度,同时发现尼泊尔地区也有少量受害用户。
二、攻击活动分析
1.载荷投递分析
通过受害者设备上落地的攻击样本路径可以知道,攻击者通过使用WhatsApp等社交软件直接传输APK安装包给受害者。
|
|
|
|
近期监控到的样本主要伪装成“Aadhaar”、“训练照片”、“学生简介”等程序,均属于RlmRat家族。相关的远控指令未发生任何变化,但是对其恶意功能进行了大量削减,仅仅保留了窃取设备文件的功能,属于是RlmRat的精简版本。
样本使用了极少的权限,主要是访问网络和读写设备外置存储的权限。这些权限对于绝大多数应用来说是必不可少的,因此极难引起用户注意。
样本启动后除了显示正常的页面外,会在后台开启服务,与C&C服务器进行通信,接收服务器远控指令,对应的功能主要涉及对设备文件的窃取。
相关指令和功能如下:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
C&C地址使用了字节数组进行存储:
过滤文档类型文件:
三、归属研判
Android平台的RlmRat家族自去年发现以来一直被透明部落组织使用,因此该家族属于透明部落组织在移动端的特有攻击武器。本次攻击活动中,攻击者使用了精简版的RlmRat家族样本,对印度和尼泊尔用户进行攻击。
另外,精简版RlmRat样本使用的C&C和去年完整版样本的C&C存在重叠,因此,可以明确判定这是透明部落组织在今年发起的针对移动端用户的又一起持续性定向攻击活动。
360烽火实验室
360烽火实验室致力于移动恶意软件分析、移动灰黑产研究、移动威胁预警、移动APT的发现与追踪等移动安全领域的深入研究。作为全球顶级移动安全生态研究实验室,360烽火实验室在全球范围内不仅首发了多篇具备国际影响力的移动安全生态研究成果,并且成功狩猎了蔓灵花、拍拍熊等多个APT组织针对我国及境外重要目标的攻击活动。实验室在为360手机卫士、360手机助手、360加固保等公司产品提供核心安全数据的同时,也为科研单位、手机厂商、应用商店及上百家国内外合作伙伴提供了移动应用安全检测服务,全方位守护移动安全
原文始发于微信公众号(360威胁情报中心):APT-C-56(透明部落)使用RlmRat家族最新攻击活动
