针对印度喀拉拉邦某民间组织恶意软件分析

针对印度喀拉拉邦某民间组织恶意软件分析

01
概述


2023年1月,奇安信病毒响应中心移动安全团队监测到一款伪装成印度西南部的喀拉拉邦地区某民间组织 “官方”App的木马程序。该木马是将该民间组织的官方网站生成Android App,后植入恶意代码重打包成木马,如此便具有官方APP相似的图标和内容,以实现伪装和仿冒的目的。该木马会秘密上传手机的实时定位信息,远程控制手机摄像头进行偷拍。

监测显示,木马样本的发布时间恰好临近该民间组织的首届年会和另外一项重大活动日期,因此,我们有理由怀疑,该木马程序是针对该组织而开展的监控活动。目前,我们已经截获的该木马样本主要针对的是Android手机。

下边为该民间组织官网上发布的活动信息。

针对印度喀拉拉邦某民间组织恶意软件分析

02
恶意行为分析
01 木马家族归属

该木马样本集成了完整的SpyMax恶意代码,也采用了RAT常用方法去规避权限申请问题,但因其注册申请权限有限,并不能完美运行。经过一段时间的监控,并未捕获到其更加完善的样本,猜测其为了不引起受害者怀疑,更有目的性的选择必要功能,主要为定位和相机视频监控。

首先,SpyMax使用Socket进行通信,具有一个主要的管理服务,初始化时进行Socket检测和连接。其次,应用在自启动和多个Receiver监听启动的基础上,还具有websitetoapk平台集成的工作调度服务,Android API>=24时周期为900000ms(受限于系统设置最小间隔),API<24时周期为15000ms,以此来保证服务的存活。

关于SpyMax家族的分析已经有很多,此处对其有效的主要恶意行为进行展示。

02 定位信息窃取

窃取用户手机定位信息,是该木马的主要恶意行为之一。代码分析显示,木马样本在获取定位信息时,会优先获取网络基站的定位信息,若基站定位信息不可用,再使用GPS定位。相关获取定位源码如下:

针对印度喀拉拉邦某民间组织恶意软件分析

03 相机视频监控

木马样本的相机视频监控实现是利用Socket不断的发送图片来实现的,使用android.graphics.YuvImage生成压缩文件格式jpeg。这也是SpyMax的基本实现方式。关键的源码如下:

针对印度喀拉拉邦某民间组织恶意软件分析

03
钓鱼样本伪装

该木马样本并没有相关的钓鱼网站,而是使用目标组织的官方网站生成与其官方样本相似的钓鱼样本进行伪装,诱导该组织相关人员使用安装。可以通过以下运行细节发现其与官方样本的差异,从而预防攻击。

01 正盗版启动图标差异

该木马样本并非使用官方应用重打包生成,启动图标具有一定差异。

针对印度喀拉拉邦某民间组织恶意软件分析


02 木马样本权限申请

该木马样本相比官方应用申请了更多的权限,且把Android目标版本API降低到了22,所以在Android高版本设备运行时,会显示一次性的危险权限申请界面。

针对印度喀拉拉邦某民间组织恶意软件分析


03 正盗版运行界面对比

该木马样本采用第三方平台打包生成,在应用主题和组件上都与官方应用存在一定差异。

官方应用Home页:

针对印度喀拉拉邦某民间组织恶意软件分析

木马样本Home页:

针对印度喀拉拉邦某民间组织恶意软件分析


04 木马样本状态栏通知

该木马样本需要申请前端服务,以防止被系统杀死,所以创建了一个相对隐匿的状态栏通知。

针对印度喀拉拉邦某民间组织恶意软件分析


04
木马样本制作
01 远程管理工具

该木马样本属于SpyMax家族,SpyMaxV4是最新版本,它包含许多强大的功能,可以方便的从相关论坛和云存储获得其破解版,且兼容到Android版本12。SpyMax的功能UI展示如下:

针对印度喀拉拉邦某民间组织恶意软件分析


02 组装步骤

一般使用RAT客户端工具生成的木马样本采用官方样本作为基料,注入恶意代码生成,而此次攻击活动样本是基于目标官网(exmuslimsofkerala.org),借助Web App转Android App的平台(websitetoapk.com)打包生成,根据对样本指纹信息的分析,我们确信其木马样本组装分为如下两步,对应我们捕获到的两个样本。


第一步:官网地址打包生成测试样本

2022年11月07日09:03,攻击者借助Website2APK Builder工具生成测试样本。

攻击使用官网地址:https://exmuslimsofkerala.org/

样本Hash: 5F8A396BDAD64C95BDC42E2602EDE3CE

样本清单文件信息如下:

针对印度喀拉拉邦某民间组织恶意软件分析

第二步:SpyMax注入生成木马样本

2022年11月07日21:30,攻击者利用SpyMax将测试样本注入恶意代码,获得木马样本。

样本Hash: A2AAA788AB891868F135AB73E9B4DD0C

样本清单文件信息如下:

针对印度喀拉拉邦某民间组织恶意软件分析



03 C&C分析

主要管理服务启动后,进行Socket连接服务器,服务器地址和端口采用加密硬编码,解密后地址为“policies-offline.at.ply.gg”,端口为“6767”。Socket连接代码如下:

针对印度喀拉拉邦某民间组织恶意软件分析

域名解析后ip地址为209.25.142.211,通过奇安信威胁情报中心查询,可知其为境外IDC,经常被用作RAT服务器,近期100+条解析记录,关联众多的PE RAT样本。

针对印度喀拉拉邦某民间组织恶意软件分析


目前,基于奇安信自研的猫头鹰引擎和威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、奇安信天狗漏洞攻击防护系统、天擎、天机、天守、天眼高级威胁检测系统、奇安信NGSOC(态势感知与安全运营平台)、奇安信监管类态势感知等,都已经支持对此类攻击的精确检测。

05
I O C s

Hash

a2aaa788ab891868f135ab73e9b4dd0c

5f8a396bdad64c95bdc42e2602ede3ce


C&C

policies-offline.at.ply.gg

209.25.142.211

06
附录 奇安信病毒响应中心移动安全团队 


奇安信病毒响应中心移动安全团队一直致力移动安全领域及Android安全生态的研究。目前,奇安信的移动安全产品除了可以查杀常见的移动端病毒木马,也可以精准查杀时下流行的刷量、诈骗、博彩、违规、色情等黑产类软件,并支持对APP合规化安全检测。团队创新研发的高价值移动端攻击发现流程,已成功捕获到国内外多起针对移动平台的重大攻击事件,并发布了多篇移动黑产报告,披露了多个通过移动平台发起攻击的APT组织及其活动。特别的,两年多来,团队全球首发披露了包括诺崇狮组织SilencerLion、利刃鹰组织BladeHawk、艾叶豹组织SnowLeopard、金刚象组织VajraEleph四个全新APT组织。团队的高级威胁的分析与追踪溯源能力在国内外均处于领先水平。


针对印度喀拉拉邦某民间组织恶意软件分析



原文始发于微信公众号(奇安信病毒响应中心):针对印度喀拉拉邦某民间组织恶意软件分析

版权声明:admin 发表于 2023年1月6日 下午2:38。
转载请注明:针对印度喀拉拉邦某民间组织恶意软件分析 | CTF导航

相关文章

暂无评论

暂无评论...