Donot team组织(apt-35)针对“微信群体”攻击活动分析

360安全客 安全知识 78604 4

 

概述:

DonotTeam是一个疑似具有南亚某国政府背景的APT组织,其组织具备针对Windows与Android双平台的攻击能力。在长期的跟踪过程发现,发现其安装图标伪装成微信、程序包名伪装成微信的程序包名,开始仿冒微信,针对群体发生了变化,开始针对使用微信群体的用户。

传播的恶意软件大都具有比较完善的窃取用户隐私数据的功能,窃取的用户隐私数据包括短信、联系人、通讯录、通话记录、键盘记录、日历行程等信息。

发展时间线:

 

1. 样本信息

MD5:34a5b1b6c61d75b92476e3be2379b934

包名:com.tencent.mm

应用名:SIMService

安装图标:

 

2. 恶意行为综述

该程序是一款仿冒微信应用的恶意软件,运行后诱导用户开启可访问性服务,开启服务后隐藏图标,隐藏图标后驻后台运行与服务器建立链接,服务器下发不同参数的远程控制指令,获取不同隐私数据;该应用窃取了用户包括短信、联系人、通讯录、键盘记录、日历行程等信息。

 

3. 运行流程图

程序运行,隐藏图标,后台运行与服务器进行交互,执行不同的远程指令,根据指令获取用户隐私信息,将包含短信、联系人、通讯录、日历行程等信息的txt文件上传到服务器。

图3-1 程序运行流程图

 

4. 技术原理分析

4.1 自我防护

4.1.1 仿冒微信

微信经过这些年的发展,已经遍布全球。从国内外来看,微信的用户安装量已经达十亿,日月活量也是亿级。微信已经深入到千家万户,微信已经融入到日常的生活当中,安装微信应用对用户来说已经习以为常。而此恶意应用从安装图标、包名结构上来仿冒微信。此仿冒应用,正是利用现在用户的心理,让用户对此仿冒应用失去防范意识,进而达到更好的伪装目的。

图4-1 仿冒微信应用

4.1.2 技术防护

恶意程序在除仿冒微信之外在其他方式了进行了自我防护,首先隐藏安装图标,对普通用户而言就达到了隐藏目的。隐藏图标后为了保障其能够长时间的运行,在技术上使用了电源锁,来保障恶意程序长时间运行。在通讯方式上采用了AES加密传输,来保障通讯信道传输安全。

1)应用安装启动后会隐藏自身图标,程序可以更好的加以隐藏。

图4-4 隐藏图标

2)设置电源锁,用来保障程序常驻后台运行。

图4-5 设置电源锁

3)在与服务器进行通信的时候采用了AES加密算法,确保通讯当中不被窃听。

图4-6 通讯加密

4.2 程序加载运行

恶意程序在诱导用户安装之后,开启可访问性服务,保障应用无障碍运行。运行之后与服务器建立通讯。通讯信道采用了AES加密的方式,确保通信安全。建立通讯之后获取用户IMEI、手机号码、运营商类型等信息,用来表示用户的唯一性。

1)应用首次运行请求开启可访问性服务,保障应用无障碍运行。

图4-7 请求开启可访问性服务

2)启动线程连接服务器,与服务器进行socket通信,建立与服务器的链接。之前样本与服务器通讯的信道未加密,而最新发现的样本与服务器通信的信道采用的AES加密的方式加密。

服务器地址:newbulb.xyz。

图4-8 服务器地址

图4-9 与服务器通讯

3)获取用户IMEI、手机号码、运营商类型等信息,用来区别用户的唯一性。

图4-10 获取用户设备信息

4.3 远程控制

恶意程序从服务器端获取远控命令,恶意程序根据不同的指令,获取用户通讯录、获取用户短信、获取外部存储器文件列表、获取已安装应用列表、获取日历日程事件信息、对用户通话进行录音等功能。与服务器进行通信,将包含隐私信息的txt文件进行上传,获取隐私信息。

4.3.1 获取信息

1)对远程控制指令进行了加密,加密方式是bes64加密。

图4-11 远程控制指令加解密

2)当服务器下发远程指令Q1RmbGFn,根据远程指令Q1RmbGFn将通讯录信息保存在contact.txt文件当中,并获取用户通讯录信息。

图4-12获取用户通讯录信息

3)当服务器下发远程指令Q2FsbA==,根据远程指令Q2FsbA==获取用户设备通话记录信息:

图4-13 获取用户设备通话记录信息

4)当服务器下发远程指令U01TZmxhZw==,根据远程指令U01TZmxhZw==获取用短信信息:

图4-14 获取短信信息

5)当服务器下发远程指令VHJlZWZsYWc=,根据远程指令VHJlZWZsYWc=获取用户外部存储器文件列表:

图4-15 获取外部存储器文件列表

6)当服务器下发远程指令VHJlZWZsYWc=,根据远程指令VHJlZWZsYWc=获取用户已安装应用列表:

图4-16 获取已安装应用列表

7)当服务器下发远程指令Q0VsYWc=,根据远程指令Q0VsYWc=获取用户日历日程事件信息:

图4-17 获取日历日程事件信息

8)当用户手机处理监听状态时,对用户通话记录进行录音。并保存/mnt/sdcard/Android/.system路径下。

图4-17 对通话记录录音

4.3.2 上传信息

1)与服务器建立链接,地址是:newbulb.xyz

图4-18 与服务器建立链接

2)将获取的所有信息保存到.txt文件当中,并写入DataOutputStream流中上传至服务器。服务器地址是:newbulb.xyz/uploads/。

图4-19 上传保存隐私数据的文件

 

5. 扩展分析

5.1 样本信息

5.2 样本域名信息

 

6. 安全建议

  1. 当应用申请开启无障碍服务时,应当警惕起来,提高自己的防范意识。
  2. 面对隐藏自身图标无法正常卸载的应用,可进入应用程序列表进行卸载。
  3. 在手机当中安装必要的安全软件,并保持安全软件更新。
  4. 应当在正规的应用市场获取需要使用的程序。
  5. 关注“暗影安全实验室”微信公众号,我们将持续关注安全事件。
(完)