GoldenCup:针对世界杯球迷的新网络威胁

Mr.Bai 729 浏览 0

随着世界杯的推出,新的威胁也随之而来

以色列国防军官员最近发现了针对以色列士兵并由“哈马斯”精心策划的Android间谍活动。ClearSky的安全研究人员发现了该活动的最新样本

在我们的研究中,我们专注于最新的样本,一个被称为“金杯”的应用程序,在2018年世界杯开始之前推出。

分布/感染

当这个活动在2018年初开始时,恶意软件(“GlanceLove”,“WinkChat”)由犯罪者主要通过虚假的Facebook个人资料分发,试图引诱IDF士兵在不同的平台(他们的恶意软件)上进行社交。由于这种方法并不是一个巨大的成功,他们的最后一次尝试是迅速创建一个世界杯应用程序,这次将其分发给以色列公民,而不仅仅是士兵。

官方“金杯”Facebook页面。 短网址会重定向到Google Play上的应用程序页面。

我们认为它很匆忙,因为与GlanceLove不同,它没有任何真正的混淆。即使是C&C服务器端也大多暴露了文件列表,每个人都可以遍历它。它包含大约8GB的被盗数据。

最近的一个名字是“goldncup.com”。 创建日期是比赛开始前一周。

怎么运行的

为了进入Google Play商店,恶意软件使用分阶段的方法,这对于恶意软件作者来说是非常常见的做法。原始应用看起来很无辜,其大部分代码旨在实现应用声称提供的真实功能。此外,它还从设备收集标识符和一些数据。

从C&C获得命令后,该应用程序能够以.dex文件的形式下载恶意负载,该文件正在动态加载,添加了额外的恶意功能。

通过这种方式,恶意软件作者只有在应用程序在Play商店上运行后才能提交其应用并添加恶意功能。 

与C&C的沟通

为了与其C&C进行通信,该应用程序使用MQTT(消息队列遥测传输)协议,该协议通过TCP端口1883传输。

启动MQTT客户端。

启动MQTT客户端。

该应用程序使用硬编码的用户名和密码以及为每个设备生成的唯一设备标识符连接到MQTT代理。

GoldenCup:针对世界杯球迷的新网络威胁与代理的MQTT连接

MQTT通信主要用于更新设备状态并从C&C获取命令。它使用不同的主题,包括唯一的设备标识符,哪一方发送消息,以及它是信息消息还是命令。

HTTP通信

除了MQTT通信之外,该应用程序还使用纯文本HTTP通信来下载.dex文件并上传收集的数据。

所有正在上载或下载的文件都是使用ECB模式通过AES加密的zip文件。每个文件的密钥随机生成并存储在具有固定偏移量的加密文件中。

为了上传文件,应用程序使用与服务器的基本REST通信,检查文件是否存在,如果不存在则上传。

用于上传的路径是:

HTTP:// <域> /apps/d/p/op.php

通信看起来像这样:

第一阶段

应用程序攻击流程的第一阶段收集设备信息和设备上安装的应用程序列表。然后将它们上载到C&C HTTP服务器。

基本设备信息的集合。
基本设备信息的集合。

此外,在此阶段,应用程序可以处理以下命令之一:

•收集设备信息

•安装应用程序

•在线?

•更改服务器域

其中,最有趣的命令是“安装应用程序”命令,它下载包含第二阶段dex文件的加密zip文件,解压缩并加载它。

第二阶段

第二阶段dex文件包含3个正在使用的主要服务:

•ConnManager - 处理与C&C的连接

•ReceiverManager - 等待传入呼叫/应用程序安装

•TaskManager - 管理数据收集任务

C&C服务器地址与第一阶段使用的地址不同,因此应用程序重新连接到新服务器以及启动定期数据收集器任务。

通过分析TaskManager类,我们可以看到此阶段支持的新命令:

从上面的代码片段中可以看出,现在有很多数据收集任务可用:

  • 收集设备信息
  • 跟踪位置
  • 上传联系信息
  • 上传已发送和已接收的短信
  • 上传图片
  • 上传视频文件
  • 发送外部存储的递归dirlist
  • 上传特定文件
  • 使用麦克风录制音频
  • 录制电话
  • 使用相机捕捉快照的爆发

这些任务可以定期运行,也可以在事件(例如来电)或从C&C服务器获取命令时运行。

缓解措施

采取以下预防措施,保护您免受移动恶意软件的侵害:

  • 不要从不熟悉的网站下载应用程序
  • 仅安装来自可靠来源的应用
  • 密切关注应用程序请求的权限
  • 安装合适的移动安全应用程序,例如SEP MobileNorton,以保护您的设备和数据
  • 使您的操作系统保持最新
  • 频繁备份重要数据

妥协指标(IoC)

包装名称:

  • anew.football.cup.world.com.worldcup
  • com.coder.glancelove
  • com.winkchat

APK SHA2:

166f3a863bb2b66bda9c76dccf9529d5237f6394721f46635b053870eb2fcc5a b45defca452a640b303288131eb64c485f442aae0682a3c56489d24d59439b47 d9601735d674a9e55546fde0bffde235bc5f2546504b31799d874e8c31d5b6e9 2ce54d93510126fca83031f9521e40cd8460ae564d3d927e17bd63fb4cb20edc 67b1a1e7b505ac510322b9d4f4fc1e8a569d6d644582b588faccfeeaa4922cb7 1664cb343ee830fa94725fed143b119f7e2351307ed0ce04724b23469b9002f2

加载DEX SHA2:

afaf446a337bf93301b1d72855ccdd76112595f6e4369d977bea6f9721edf37e

域名/ IP:

  • goldncup .COM
  • glancelove .COM
  • autoandroidup .site
  • mobilestoreupdate .site
  • updatemobapp .site
  • 107 .175 . 144 . 26
  • 192.64 . 114 . 147

本文作者为Mr.Bai,转载请注明。

发表评论 取消回复
表情 图片 链接 代码

分享
请选择语言