間諜軟件�,聽起來這似乎和我們很遙遠����,但是在移動網(wǎng)絡快速發(fā)展的今天,間諜軟件時刻威脅著我們的信息安全��。之前我們跟蹤分析了幾款臭名昭著的APT組織的手機間諜軟件,其攻擊手法和對抗分析的手段不斷再提高�����,這給我們所有手機用戶敲響了警鐘����,了解和防御手機間諜軟件刻不容緩。
為此,我們會持續(xù)的介紹一些國際上臭名昭著APT組織�����,讓我們更加了解和規(guī)避這些惡意的手機間諜軟件。
透明部落(APT36),也稱為 Earth Karkaddan,是一個來自巴基斯坦的APT攻擊組織���,歷來以印度軍事和外交資源為目標。該 APT 組織(也稱為Operation C-Major���、PROJECTM、Mythic Leopard 和 Transparent Tribe)以使用社會工程和網(wǎng)絡釣魚誘餌作為切入點而聞名�,之后��,它部署了Crimson RAT 惡意軟件來竊取信息它的受害者�。
透明部落主要通過魚叉式網(wǎng)絡釣魚電子郵件和 USB 蠕蟲的方式攻擊用戶主機��,感染后會釋放和執(zhí)行遠程訪問木馬 (RAT)�。在已知活動中�����,透明部落使用了Crimson RAT和ObliqueRat兩款惡意軟件與C&C服務器進行通信,并下載其他惡意軟件或泄露數(shù)據(jù)�。惡意電子郵件具有誘騙受害者下載惡意軟件的誘餌���,包括欺詐性政府文件、顯示有魅力女性資料的蜜罐,以及最近以冠狀病毒為主題的信息���。
除了使用魚叉式網(wǎng)絡釣魚電子郵件和USB 蠕蟲作為傳播途徑外���,透明部落還可通過惡意網(wǎng)絡釣魚鏈接部署安卓手機間諜軟件��。早在2018年���,該組織就使用了StealthAgent(AndroidOS_SMongo.HRX)����,這是一種可以攔截電話和消息��、跟蹤受害者位置和竊取照片的安卓間諜軟件。最近���,透明部落使用AhMyth Android RAT的更新版本����,通過偽裝的色情應用和Covid-19新聞應用來針對印度軍方和政府人員����。其間諜軟件命名為CapraRat���,這款間諜軟件是一款AndroRAT的開源 RAT 的修改版本�,這個家族的軟件最早可以追溯到2017年。
近期���,恒安嘉新暗影移動實驗室APP全景態(tài)勢平臺監(jiān)測發(fā)現(xiàn)幾款最新的CapraRat手機間諜軟件, 該類惡意軟件會在后臺監(jiān)聽和收集手機用戶的隱私信息���,同時遠程操控手機執(zhí)行惡意操作�。
其安裝圖標如下所示:
從安裝圖標可以看出����,這類手機間諜軟件大多還是通過使用正規(guī)的應用圖標和名稱來迷惑用戶下載����,這里使用了WhatsApp社交軟件,YouTube視頻軟件����,以及Google_Calendar一款日歷功能的軟件��。
2. 樣本信息
表2-1 樣本基本信息
| 序號 | 應用安裝名稱 | MD5 |
| 1 | WhatsApp | B31B2DDBA99A8B8ECB01D99270285E3A |
| 2 | YouTube | 68C486FBA3CF0AF569D2A0DA6825FE3D |
| 3 | YouTube | 63E72F21018E6583D174EB01F4722B59 |
| 4 | Google_Calendar | B28C6D8B32B8D0CF701AD51B06911BF5 |
3. 程序運行流程圖
該CapraRat間諜軟件惡意軟件安裝后���,會識別手機廠商�,并自動獲取權限,然后誘導用戶同意后臺運行,并且啟動監(jiān)聽用戶的隱私信息,包括用戶的通訊錄、短信內(nèi)容�����、通訊記錄和用戶定位����,遠程操控用戶手機,執(zhí)行發(fā)送短信、撥打電話��、修改設置��、錄音和上傳文件等惡意操作,CapraRat間諜軟件的運行流程圖3-1所示����。
圖3-1 CapraRat間諜軟件運行流程圖
4. 核心功能
4.1權限獲取
惡意間諜軟件在安裝后��,無需用戶同意�����,會自動激活所有權限����。并且啟動具有遠控功能模塊的service。
圖4-1自啟動遠控功能service
可以從靜態(tài)分析中看出�����,這個提權的方法適配了國內(nèi)外多款手機廠商�,其中包含華碩、小米�、樂視���、榮耀��、華為��、oppo����、vivo�����、諾基亞和三星手機�。
圖4-2自啟動權限
通過識別用戶手機的廠商��,有甄別的使用各個廠商的安全模塊,達到提權的目的���。
圖4-3識別手機廠商啟動對應權限
在安裝應用后���,app還提示用戶允許應用始終在后臺運行。
圖4-4后臺運行申請
4.2監(jiān)聽和獲取用戶隱私
監(jiān)聽功能是手機間諜軟件的必有的模塊�����,間諜軟件可以通過實時的通話記錄、通訊錄、存儲文件�����、GPS和短信收發(fā)等監(jiān)聽���,監(jiān)視用戶的行蹤���,通信信息和存儲的隱私內(nèi)容����。APT組織的這種監(jiān)聽的手段對于政府的攻擊是致命���,可以想象到在戰(zhàn)爭中��,APT組織對他國軍政要員的監(jiān)聽��,獲取和販賣這些隱私信息��。
圖4-2-0-1廣播監(jiān)聽運行
如上圖所示,安裝app后����,通過開機���、打開應用���、警告監(jiān)聽等方式啟動TCPClient線程�,自動獲取用戶通訊錄�����、通話記錄和照片等����。
圖4-2-0-2獲取隱私信息
4.2.1通話記錄
通過遠程開啟電話監(jiān)聽器���,時刻監(jiān)聽用戶通話�����。
圖4-2-1-1電話監(jiān)聽器
通過CallLogLister方法獲取通話記錄的詳細信息���,包括通話號碼、姓名�����、時長等��。
圖4-2-1-2電話監(jiān)聽器內(nèi)容
4.2.2通訊錄
獲取用戶的通訊錄�����,獲取的通訊錄的信息可以用于分發(fā)有惡意傳播鏈接的短信,傳播其他手機間諜軟件�����。
圖4-2-2-1開機監(jiān)聽獲取通訊錄
4.2.3位置信息
通過gps以及network對用戶的位置進行定位,并實時的監(jiān)聽�����。
圖4-2-3-1監(jiān)聽獲取位置信息
圖4-2-3-2獲取位置信息方法
在用戶位置發(fā)生變化時����,同樣也會獲取其位置變化的信息�����。
圖4-2-3-3獲取位置變化信息
4.2.4短信監(jiān)聽
黑客可以通過遠程控制���,打開短信監(jiān)聽器smsMoniter���,并攔截用戶收到的短信����。這種手段多出現(xiàn)在銀行木馬�,用于獲取用戶的銀行卡的手機驗證短信�。
圖4-2-4短信監(jiān)聽器
4.3遠控
Android RAT最重要的核心功能是遠控���,在應用安裝啟動后���,間諜軟件先會和C&C服務器通信,遠控上線,通過getCommand方法進一步獲取遠控指令,并獲取用戶隱私����。
圖4-3遠控獲取指令
遠控的功能比較多��,我們就不逐條舉例,下面對遠控指令進行的分類介紹��。
4.3.1設置功能
我們對功能進行了大體的分類,將對手機的設置方面控制操作歸納為設置功能���,其中包括控制手機狀態(tài)包括屏幕開關、運行app、記錄媒體文件�����、刪除遠控用戶����、上線id�、記錄內(nèi)容、通話、短信監(jiān)聽器����、隱藏app和通話錄音�,這些狀態(tài)被黑客用于了解和控制失陷的手機狀態(tài)和進行下一步遠控操作����。
| 遠控指令 | 設置功能 |
| enbScren | 關閉屏幕 |
| appRun | 運行app |
| recMic | 記錄媒體文件 |
| rmUser | 刪除遠控用戶 |
| userID | 用戶上線id |
| recNotif | 記錄內(nèi)容 |
| callMoniter | 通話監(jiān)聽器 |
| smsMoniter | 短信監(jiān)聽器 |
| mehiden | 顯示和隱藏app |
| recCall | 通話錄音 |
表4-3-1設置功能指令
4.3.2通訊錄
惡意間諜軟件獲取用戶手機的通訊錄列表���,包括通訊錄的電話號碼��、姓名以及存儲的聯(lián)系人照片����。如下圖所示方法:
圖4-3-2 獲取用戶手機存儲通訊錄
4.3.3短信&電話
間諜軟件獲取用戶的短信����,其中包括收信箱���、發(fā)信箱和草稿箱。
圖4-3-3-1 獲取用戶短信
獲取短信是一種非常危險的行為,這種行為常見在銀行木馬中,通過截取銀行驗證短信����,獲取短信內(nèi)容中的驗證碼�,用來登錄用戶的銀行app賬號,造成用戶金錢財產(chǎn)的損失����。
同樣間諜軟件也具備了發(fā)送短信的功能��。
圖4-3-3-2 發(fā)送短信
撥打電話也是一種監(jiān)聽的手段,惡意軟件也有撥打電話的功能�����。
圖4-3-3-3 撥打電話
4.3.4通話記錄
惡意間諜軟件同時也會遠程獲取用戶的通訊記錄��。其中包括獲取用戶接收���、撥打和掛斷的電話記錄��。
圖4-3-4獲取通訊記錄
4.3.5手機文件
手機在安裝惡意間諜軟件后,會遠程獲取用戶的文件列表,在此處還有其他遠程操作手機文件的行為���,包括文件的上傳�����、刪除�。惡意操作用戶手機存儲的文件���,包括照片���、視頻和錄音文件��。
圖4-3-5-1瀏覽所有手機文件
圖4-3-5-2 獲取文件基本信息
圖4-3-5-3發(fā)送文件
黑客還可以通過遠控指令下發(fā)攻擊負載,這樣就可以對手機實行第二次有效的攻擊����,比如銀行app的覆蓋攻擊���。
4.3.6 地理位置
該惡意軟件還可以通過GPS和當前聯(lián)網(wǎng)狀態(tài)定位獲取用戶的經(jīng)緯度,可隨時定位用戶的位置��,方便記錄用戶的生活軌跡。
圖4-3-6 獲取用戶地理位置
4.3.7媒體獲取
通話錄音����、照相的遠控功能,這些功能可以遠程監(jiān)控用戶周圍的環(huán)境以及用戶通話的詳情,如下圖所示����。
圖4-3-7-1 照相
圖4-3-7-2 通話錄音
圖4-3-7-3錄音
4.3.8遠控指令
通過安全人員分析發(fā)現(xiàn)CapraRat的遠控功能達到六十多種�,遠控指令通過訪問C2服務器下發(fā)��,并進一步獲取遠控操作��。
C&C服務器的ip為209.**.**.241,這個ip在透明部落早期的攻擊樣本分析中��,已經(jīng)標志為該APT組織的特征����。同時通過服務器我們還溯源到其他安卓樣本�����。
圖4-3-8 C2服務器地址
其遠控指令如下表所示:
| 遠控指令 | 功能 | 遠控指令 | 功能 | 遠控指令 | 功能 |
| enbperm | 獲取權限 | fles | 獲取文件 | smslg | 特定短信攔截 |
| calsre | 開啟通話錄音 | info | 用戶手機基本信息 | stpre | 關閉錄音 |
| calstp | 關閉通話錄音 | lgps | 獲取地理位置 | stsre | 開啟錄音 |
| camoni | 打開通話監(jiān)聽器 | runf | 啟動app | thumb | 發(fā)送圖片 |
| clping | ping心跳 | udlt | 刪除被控端端 | vibrate | 設置震動 |
| lntwok | 發(fā)送網(wǎng)絡位置 | vibr | 設置手機震動 | camonis | 關閉通話監(jiān)聽器 |
| notifi | 打開通知監(jiān)聽 | clogs | 通話記錄 | capbcam | 設置后置攝像頭 |
| recpth | 錄音 | conta | 獲取通訊錄 | capfcam | 設置前置攝像頭 |
| smsmon | 開啟短信監(jiān)聽器 | delth | 刪除文件 | capscrn | 截屏 |
| stoast | 顯示提示框 | endpo | root結(jié)束進程 | chkperm | 檢查權限 |
| supdat | 更新app | ffldr | 文件列表 | delnotif | 刪除信息 |
| uclntn | 記錄用戶遠控狀態(tài) | filsz | 文件信息 | hidespp | 隱藏 |
| scresize | 設置屏幕大小 | gcall | 撥打電話 | mlntwok | 發(fā)送網(wǎng)絡位置 |
| capscrns | 截屏 | listf | 文件瀏覽 | setnotif | 設置通知 |
| unsnotif | 關閉通知監(jiān)聽 | mlgps | 發(fā)送地址 | scrtops | 關閉屏幕截屏 |
| cnls | 刪除信息 | msurc | 設置麥克風 | setgpse | 設置gps |
| delt | 刪除文件 | nofia | 開啟提權service | setnoti | 設置通知service |
| dirs | 獲取文件列表 | nofid | 關閉提權service | setscrn | 屏幕設置 |
| dowf | 下載文件 | procl | 發(fā)送運行app進程 | showspp | 顯示app |
| fldr | 獲取文件 | sesms | 發(fā)送短信 |
|
|
表4-3-8遠控指令列表
5. 服務器C2特征
通過抓包發(fā)現(xiàn)惡意程序和C&C之間的通信,使用的是TCP協(xié)議�����,如下所示:
圖5-1 TCP協(xié)議通信
三次握手后��,控制端先通過tcp協(xié)議發(fā)送info=command指令獲取用戶手機基本信息,如表4-3-7 遠控指令列表所示的info指令�����,報文的特征如下:
圖5-2 TCP報文
| 指令 | 功能 |
| Info=command | 獲取用戶手機基本信息 |
| uclntn | 記錄用戶遠控狀態(tài) |
| Calstp=stop-recording | 關閉通話錄音 |
| Clping=ping | ping心跳 |
表5-1 抓包指令分析
我們對該組織的其他安卓樣本提取C&C域名進行了匯總,這些IP已經(jīng)被標記為透明部落組織的IoCs����,如表5-2所示:
| IP | 分布區(qū)域 |
| 209.**.**.241 | 加拿大蒙特利爾 |
| 207.**.**.93 | 德國紐倫堡 |
表5-2 服務器地址
6. 修復方法
間諜軟件其目標就是獲取用戶的所有信息�,并且對用戶實施遠程監(jiān)控��。這種針對政府人員的APT組織的危險性是難以估計的。雖然是相對和平的年代���,但是戰(zhàn)爭依然沒有停歇,網(wǎng)絡戰(zhàn)爭是非常重要的一環(huán)���,任何人都有可能被間諜軟件監(jiān)控,移動用戶的安全防護迫在眉睫���。
一旦受到此類惡意軟件的攻擊,用戶可以通過以下方法卸載:
(1)立即關閉所有網(wǎng)絡連接(斷開手機移動網(wǎng)絡和wlan)��,在未刪除app前,建議禁止網(wǎng)絡連接�����;
(2)在手機設置的應用信息中找到應用圖標�����,點擊卸載�;
(3)如果以上方法都無法刪除��,備份一些重要數(shù)據(jù)到電腦���,然后恢復出廠設置���。如果不放心�,也可選擇重置手機���,以此規(guī)避已經(jīng)投放到手機上的惡意負載的攻擊。
7. 安全建議
恒安嘉新暗影移動安全實驗室在此提醒廣大用戶�����,不輕易相信陌生人,不輕易點擊陌生人發(fā)送的鏈接�,不輕易下載不安全應用��,不安裝非正規(guī)途徑來源的APP�。透明部落組織一直通過社會熱點的文件作為誘餌竊取用戶信息�。用戶可以采用以下方式來阻止透明部落組織攻擊:
謹慎打開未知的電子郵件���,尤其是那些要求緊急的電子郵件�����。
避免點擊電子郵件中的鏈接或下載附件,尤其是來自未知來源的電子郵件��。
僅從受信任的來源下載應用程序,建議去正規(guī)的應用市場或官方下載���。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡舉報APP下載
