安天移动安全联合猎豹移动首次揭露“Operation Manul”疑似在Android端的间谍软件行为

Posted AVLTeam

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了安天移动安全联合猎豹移动首次揭露“Operation Manul”疑似在Android端的间谍软件行为相关的知识,希望对你有一定的参考价值。

技术分享

前言

  去年8月份,美国黑帽大会曾公开发表了一篇报告,揭露了名为“Operation Manul”的组织针对该国相关人士进行的大面积网络攻击和窃听行为,并分析了其在PC端使用的窃听技术及域名。

  通过对报告中披露的多个用做指令控制和文件上传的C2 Server域名进行内部检索对比,安天移动安全联合猎豹移动发现了一批相关恶意样本,分析发现该间谍软件通过伪装成海外知名应用潜入目标用户手机,在获取权限后会展开一系列窃听行为:私自拍照、录音,并窃取用户短信、通讯录、地理位置等隐私信息,而后将相关数据上传至远程服务器。

  这是自报告公开以来首次发现“Operation Manul”组织疑似在android平台存在攻击行为,以下是对我们捕获的安卓端间谍软件的详细分析。

一、简要分析

  安天移动安全与猎豹移动联合发现的这批间谍软件,皆伪装为海外知名应用并将恶意代码注入其中,进而对目标用户实施恶意攻击。被伪装的知名应用不乏有即时通讯软件WhatsApp、流量加密软件Orbot以及互联网代理服务软件Psiphon等。

  被植入恶意模块的应用程序包结构如下图所示:

技术分享

二、分析对象说明

  我们发现攻击者在不同的知名应用中所植入的恶意模块几乎完全一致,故选择其中一个样本进行下述详细分析。分析对象如下:

技术分享

三、恶意行为分析

  通过AM文件可以看到,该间谍软件为了达成窃取短信、通话、录音等用户敏感隐私信息,注册了大量的receiver和相关权限。以下是恶意模块的相关属性:技术分享

  根据程序运行逻辑,整体恶意行为的攻击路线大致分为3个步骤:

Step1 敏感权限获取

  该病毒首先会请求用户给予相应的权限,如调用摄像头、录音、获取地理位置、获取通话记录和读取短信等权限,为后续窃取目标用户的敏感信息做攻击前准备。

技术分享

技术分享

 

  而后,该病毒的Pms和Pmscmd模块会对当前程序是否获得关键权限进行确认。如未获得相应权限,则再次发起权限申请请求,确保权限到手以进行信息窃取。

技术分享

Step2 执行远控指令

  该病毒的主体恶意行为的执行基本完全依赖于远程服务器所发送的指令。该病毒开机自启动后立即运行恶意模块,通过https接收远程控制服务器发送的控制指令信息。基于指令信息执行相应的恶意行为,最终实现隐私信息的窃取和代码自我更新的目的。接下来我们对该过程进行详细介绍。

  ReSeRe是一个自启动项,用于启动该木马的主要恶意服务MySe:

技术分享

  MySe为此程序最主要的恶意模块,onCreate会启动线程F:

技术分享

  线程F包含接收远控命令,解析远控命令,执行恶意行为:

技术分享

技术分享

技术分享

  远程控制指令中包含了大量用户隐私信息窃取指令,如窃取用户短信、联系人、通话记录、地理位置、浏览器信息、手机文件信息、网络信息、手机基本信息,私自拍照、录音等等,收集信息后进而将这些用户敏感数据上传至远程服务器。技术分享

step3 执行代码内其他恶意模块

  通过ReSe恶意模块对用户环境进行录音:

技术分享

  MyPhRe主要是监听通话的作用:

技术分享

四、溯源分析

  通过分析,从代码中我们找到了用于通信的C&C服务器:

技术分享

  解密上述地址后得到明文C&C地址,解密的key为Bar12345Bar12345:

技术分享

  同时,根据该C&C服务器的域名,我们在去年黑帽大会发布的报告中发现了相同的域名地址。原报告盘点了Operation Manul在PC侧所实施的钓鱼等一系列攻击所使用的服务器信息(如下图所示),其中包含了adobeair.net域名,而这一定程度也印证了我们所捕获的安卓端病毒源自原报告所指的Operation Manul组织的可能性。技术分享

图注:上图来源于黑帽大会上发布的报告

  使用whois对域名adobeair.net进行反查后,我们发现了一个疑似开发者的邮箱:[email protected],其所持有adobeair.net域名的时间与原报告提出的攻击时间吻合。

  同时通过进一步搜索,我们查询到了该邮箱用户开发的用于应用推广的网页http://www.androidfreeware.net/developer-3195.html。而其中所推广的安卓应用都为其所开发。因此猜测该邮箱用户应该也是一位具有安卓编程能力的开发者。而这一定程度也与本文安卓端间谍软件活动的溯源进行了一次关联。技术分享

五、总结

  近几年,随着智能手机和移动网络在世界范围内的普及,移动端的定向攻击也逐步增多,并出现和PC端进行高度结合的趋势。两者往往相互配合,获取高价值的具有个人身份属性的信息,成为恶意攻击中的重要一环。与此同时,由于移动设备的边界属性和高社会、高隐私属性,一旦攻击成功,极有可能导致攻击结果出现雪崩效应,损失不断扩大。本次“Operation Manul”攻击事件不仅是一个疑似PC端和Android端联合攻击的案例,同时也是针对特定目标人群实施的定向攻击的典型事件。

  而针对高价值用户进行的定向攻击往往是移动威胁对抗中的经典长尾问题。尾部安全事件由于其受众明确、攻击意图直接、涉及用户重度隐私的特点,往往给目标受害群体带来了不可比拟的损失。对此安全厂商更需要密切关注并持续提升长尾威胁的对抗能力,真正为用户侧的移动安全保驾护航。

附录

IOC (Android):

技术分享

  更多信息详见公司官网:http://www.avlsec.com

  转载请注明来源:http://blog.avlsec.com/?p=4898

以上是关于安天移动安全联合猎豹移动首次揭露“Operation Manul”疑似在Android端的间谍软件行为的主要内容,如果未能解决你的问题,请参考以下文章

安天AVL联合小米MIUI首擒顽固病毒“不死鸟”

安天移动安全应对“DressCode”威胁,发布企业移动威胁检查工具

安天移动安全荣获魅族Flyme“年度最佳技术合作伙伴”奖项

Twitter凯度集团猎豹移动:中国企业出海如何树立品牌?认知方法创意和本土化

下载量超 20 亿的 8 款 Android 应用涉广告欺诈,谁在“猎杀”猎豹移动?

第一次作业