克什米尔冲突之针对巴基斯坦的Chenab(奇纳布河)监控活动样本分析

 

背景

印巴冲突历来已久,其归根到底是克什米尔问题,克什米尔争端是指印度和巴基斯坦对查谟和克什米尔地区主权纷争而引发的一系列问题,克什米尔争端是英殖民主义在1947年撤出印度时留下的。

2019年10月5日,印控克什米尔地区政府办公室遭到手榴弹袭击,目前已造成至少14人受伤,再次加剧当地紧张气氛。6日,数千名巴控克什米尔地区民众开始聚集在印巴实际控制区分界线附近,抗议印控克什米尔地区被封锁。巴基斯坦总理伊姆兰·汗随后在社交平台上表示,希望民众不要越线,任何对印控克什米尔地区的人道主义援助,都会“被印度利用”。

自8月5日印度政府宣布取消宪法赋予印控克什米尔地区的特殊地位后,印巴局势骤然升级。取消特殊地位意味着印控克什米尔地区曾享有的自治权不复存在,而印度宪法将完全适用于这里。印度还封锁了印控克什米尔大部分地区,切断当地对外通讯,包括手机、互联网和固线电话,并增派军队到边界地区。这一单方面改变克什米尔现状的做法立即招来巴基斯坦强烈反弹,巴方随即决定降低与印度的外交关系级别,并中断双边贸易。

而近日,奇安信病毒响应中心捕捉到了一起极具目的性的安卓APK攻击,经过研判发现其攻击目标疑似为巴基斯坦。此次攻击事件涉及的样本乌尔都翻译为“河边” ,联系到奇纳布河(Chenab River)流域发生过印巴水资源争议,根据1960年9月达成《印度河水协定》。根据协定,奇纳河、印度河及杰赫勒姆河划归巴基斯坦。奇纳布河(Chenab River)上游经过经克什米尔查谟(Jammu)地区,目前是巴基斯坦控制区域。有理由相信在8月5日之后,各方在地区的监控会加强,这次针对奇纳布河(Chenab River)上游的监控活动,我们正式命名为Chenab。

 

诱饵分析

这次捕获到的apk样本名为“ندائےحق”(乌尔都语:河边),大家都知道乌尔都语为巴基斯坦的国语,通过伪装为正常应用(恶意样本加载正常应用)来实现全面监控的作用,能实时捕捉到巴基斯坦国内最新动态。“河边”代号可能是基于历史与地理位置,奇纳布河(Chenab River)存在争议,奇纳布河(Chenab River)上游又经过克什米尔地区,使人不得不去联想到印巴克什米尔冲突,近年来在“克什米尔”地区的冲突也是愈演愈烈。

通过关联样本分析发现,此框架下适用任何针对任何app进行伪装,在关联样本中发现疑似针对巴基斯坦来伪装相关应用,具有很强的针对性,疑似印度针对巴基斯坦近期制定了监控计划。

诱饵APP图标:           正常APP图标:

     

样本运行截图:

样本申请的权限:

 

样本分析

样本概况

文件名称 29E94BC62CBFA221A051E07E23588016.apk
软件名称 ندائےحق
软件名称翻译 河边
软件包名 com.gellery.services
MD5 29E94BC62CBFA221A051E07E23588016
安装图标

样本行为描述

此次捕捉的针对阿拉伯国家的恶意样本,通过释放加载正常的应用程序,

隐藏自身图标来实现隐藏自身,让用户误以为安装并更新了一个正常的应用程序。此恶意程序在后台运行时,则会通过远程服务器下发指令(总计56个指令)来实现对用户进行全方位的监控。其恶意操作有:上传短信信息、上传联系人信息、上传电话记录、屏蔽短信、监听手机状态、开启GPS、远程拍照等操作。

远控指令列表:

网络指令 功能
msurc 设置音频源的值
udlt 更新配置信息并关闭远程连接
nofia 预留
setscrn 开启截屏
nofid 结束前台服务时删除通知
uclntn 设置用户ID并更新设置
setnoti 开启通知服务
setgpse 开启GPS
info 获取设备基本信息及配置信息
dirs/fldr 获取SD卡根目录信息
fles 获取指定目录下文件信息
ffldr 获取指定目录下的文件及目录信息
filsz 获取文件信息
notify 获取_HAENTIFI
file/afile 获取文件数据
thumb 获取图片
cnls 设置isCancl的值
delnotif 删除_HAENTIFI文件
unsnotif 注销通知服务
setnotif 注册通知服务
delt 删除文件
dowf 下载指定文件
capbcam 后置摄像头拍照并保存
capfcam 前置摄像头拍照并保存
capscrn 开启截屏
capscrns 开启连续截屏
scresize 设置屏幕大小
scrtops 发送广播
supdat 安装并运行指定的apk
runf 启动指定的应用
listf 向服务器回传文件数据
procl 向服务器回传运行程序列表信息
endpo 关闭指定应用的进程
calsre 设置电话记录的配置信息
recpth 上传_HAATNECS_
calstp 设置电话记录的配置为false
stsre 开启录音
stpre 停止录音
conta 获取联系人信息
clogs 上传电话记录
vibr\vibrate 设置手机震动参数
stoast 显示指定的通知信息
gcall 拨打指定号码
sesms 向指定号码发送短信
lntwok 上传本地网络信息
lgps 开启GPS并进行上传
clping 上传ping
smslg 上传短信信息
delth 删除_HAETALOG_
smsmon 注册屏蔽短信服务
smsmons 注销屏蔽短信服务
camoni 注册电话状态监听服务
camonis 注销电话状态监听服务

详细代码分析

1、“黑加白”实现隐藏自身

恶意样本运行后会直接从raw目录下释放myapps并保存为myapps.apk,同时会运行此正常的apk应用。

当运行了真实的正常apk后,则会隐藏恶意程序自身图标,在后台进行远控操作,这样呈现给用户的效果是安装了一个正常的应用程序

2、通过实时更新配置文件,来灵活切换远控服务器

连接远程服务器后,则可通过网络发送指令数据包进行远程控制操作。

远程服务器的IP端口信息:

服务器:173.249.50.34 和 shareboxs.net

端口:12182

通过配置信息来决定是否连接ip或者域名:

3、网络远控指令

指令msurc:设置音频源的值

指令udlt: 更新配置信息并关闭远程连接

指令setscrn:开启截屏

指令nofid:结束前台服务时删除通知

指令uclntn:设置用户ID并更新设置

指令setnoti: 开启通知服务

指令setgpse:开启GPS

指令info:获取设备基本信息及配置信息

指令dirs和指令fldr: 获取SD卡根目录信息

指令fles: 获取指定目录下文件信息

指令ffldr:获取指定目录下的文件及目录信息

指令filsz: 获取文件信息

指令notifi: 获取_HAENTIFI信息

指令file和afile:获取文件数据

指令thumb:获取图片

指令cnls: 设置isCancl的值

指令delnotif: 删除_HAENTIFI

指令unsnotif: 注销通知服务

指令setnotif: 注册通知服务

指令delt:删除文件

指令dowf:下载指定文件

指令capbcam:后置摄像头拍照并保存

指令capfcam:后置摄像头拍照并保存

指令capscrn:开启截屏

指令capscrn:开启连续截屏

指令scresize:设置屏幕大小

指令scrtops:发送广播

指令supdat:安装并运行指定的apk

指令runf: 启动指定的应用

指令listf: 向服务器回传文件数据

指令procl: 向服务器回传运行程序列表信息

指令endpo: 关闭指定应用的进程

指令calsre: 设置电话记录的配置信息

指令recpth: 上传_HAATNECS_

指令calstp: 设置电话记录的配置为false

指令stsre:开启录音

指令stpre:停止录音

指令conta:获取联系人信息

指令clogs:上传电话记录

指令vibr\vibrate:设置手机震动参数

指令stoast:显示指定的通知信息

指令gcall:拨打指定号码

指令sesms:向指定号码发送短信

指令lntwok:上传本地网络信息

指令lgps:开启GPS并进行上传

指令clping:上传ping

指令smslg:上传短信信息

指令delth:删除_HAETALOG_

指令smsmon:注册屏蔽短信服务

指令smsmons:注销屏蔽短信服务

指令camoni:注册电话状态监听服务

指令camonis:注销电话状态监听服务

 

同源分析

通过关联样本发现了使用同一框架的恶意程序,其核心功能代码大同小异(或减少功能),其主要的核心架构就是通过从res\raw\目录下释放myapps/myappes/myapp.apk(正常应用)然后安装运行,同时伪装恶意程序以隐藏图标的方式在后台一直运行监控获取用户信息。

其利用框架为:

 

总结

印巴冲突无疑是近年来比较火热的话题之一,本文中疑似针对巴基斯坦的apk样本监控分析,无疑是印巴交锋中的网络战争,谁能先获取对方的最新动向则能及时作出相对应的策略。如果网络战争失利了,无疑于失去先机。

奇安信病毒响应中心将持续对最新的恶意安卓APK攻击活动进行及时分析与更新,目前奇安信全系产品均可对此攻击活动进行报警。

 

IOC

文件Hash:

29e94bc62cbfa221a051e07e23588016

aefaf256916cb229c42ffeb1bca18c39

3588b1efda1863a3a10e8230005d877d

f68617671f1a830648b93350e670f698

1095580e4bece45ce5aaefca6125e6e4

C2地址:

173.249.50.34:12182

shareboxs.net:12182

(完)