Donot team 组织(APT-C-35)移动端攻击活动分析
介绍
某安全团队捕获Donot组织大量的移动端恶意app,这些app有伪装成系统工具的,也有伪装成应用市场、游戏、新闻等各种类型的app。Donot组织的恶意app运行后会对手机进行远程控制,窃取目标手机的机密信息。
背景
Donot Team APT组织(APT-C-35)是一个疑似具有南亚某国政府背景的APT组织,该组织持续针对巴基斯坦国家进行APT攻击。该组织的攻击活动最早可追溯到2016年,擅长使用c++、python、.net、autoit等多种语言开发的恶意程序,开发的恶意程序不仅有基于yty框架windows端恶意程序,还有可以运行于安卓系统的移动端恶意程序。
近年来,我们捕获了该组织大量的移动端恶意app,这些app有伪装成系统工具的,也有伪装成应用市场、游戏、新闻等各种类型的app。这些app功能和内容涵盖各个方面,大部分app安装后都有其正常的功能,但他们有一个共同的特点,运行后会在后台执行相同的木马功能——对手机进行远程控制,窃取目标手机的机密信息。
1)伪装成系统工具、应用商店、游戏等各种APP
2)伪装成游戏类、新闻类的恶意APP一般能够正常使用,并在后台偷偷执行木马行为,而伪装成系统应用类app运行后则删除图标,完全隐匿到后台执行。
代码分析:
apk代码结构,早期的版本并未做任何混淆处理,而新版本对代码做了混淆处理
连接C2,早期的版本并未对C2信息做任何处理,而新的版本对C2做了加密,加密方式为base64+XOR key
C2解密函数
解密后的C2:mimestyle.xyz:48765
接受C2返回的指令,根据指令获取信息上传,支持的指令和功能如下:
| 指令 | 功能 |
|---|---|
| Call | 获取通话记录存为CallLogs.txt上传 |
| CT | 获取通讯录存为contacts.txt上传 |
| SMS | 获取短信存为sms.txt上传 |
| Key | 获取键盘输入信息存为keys.txt上传 |
| Tree | 获取SD卡文件列表存为Tree.txt上传 |
| AC | 获取账户信息存为accounts.txt |
| Net | 获取网络信息存为netinfo.txt上传 |
| CR | 获取通话录音存为Clist.txt上传 |
| LR | 录音 |
| FS | 文件上传 |
| GP | 获取GPS信息存为GP.txt上传 |
| PK | 获取应用列表存为pkinfo.txt上传 |
| BW | 获取浏览器信息存为bw.txt上传 |
| CE | 获取日历信息存为ce.txt上传 |
| Wapp | 获取whatsapp信息存为WappHolder.txt上传 |
恶意指令及生成的中间文件
获取通话记录相关代码
获取短信相关代码
获取账户信息相关代码
获取录音信息相关代码
获取应用安装信息相关代码
录音设置相关代码
获取日历行程相关代码
与WhatsApp相关的代码
关联分析:
与早期donot team RAT命令分发相关代码,控制指令完全一样
最终各个指令生成的文件也是一样的,可以确认为同一RAT。
安全建议
专业APT组织针对移动端的攻击日益多见,厂商安全团队提醒外贸企业、重点行业的工作人员,在使用智能设备时,须谨慎小心,可参考以下建议:
1.在智能手机上使用安全软件;
2.建议只通过可靠的应用市场下载手机应用,避免通过分享的链接下载安装。
3.及时升级手机操作系统,降低攻击者利用手机系统漏洞攻击的可能性。
4.推荐企业用户部署厂商安全T-Sec高级威胁检测系统对黑客攻击行为进行检测。厂商安全T-Sec高级威胁检测系统,是基于厂商安全能力、依托厂商在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统,该系统可及时有效检测黑客对企业网络的各种入侵渗透攻击风险。
IOC
C2:
mimestyle.xyz
whynotworkonit.top
rythemsjoy.club
genwar.drivethrough.top
mangasiso.top
spectronet.pw
jasper.drivethrough.top
param.drivethrough.top
37.120.140.211
206.189.42.61
198.13.57.49
138.68.81.74MD5:
47efae687575e61f94b1ad8230f03e46
b7e6a740d8f1229142b5cebb1c22b8b1
103cfbc4f61dd642f9f44b8248545831
be4117d154339e7469d7cbabf7d36dd1
781f90d9dab226b1a0251d8cd4732d51
c3c82fa13bf5baddfbdfe378e379a956
649588f10d0bd618ecb9987912c211d8
7bb0b6eb3383be5cec4b2eabf273c7f9
48dd7291b1cd3e5054a6d8b15f0b9ffe
c2da8cc0725558304dfd2a59386373f7
397ed4c4c372fe50588123d6885497c3
843e633b026c43b63b938effa4a36228
c9b39034b9a1ba04d6685fe1b06ab8a7
e5fdb83c9c9c677132f2d3ee51a438a8
2f4a415008a5ee5357559eeb27de72dc
ffde2dda2cab65c25a8b18dfb17c9f4e
f008d370855653a30d9aaa52c2c28188
d07af74db6ede5266c65624472a7b30b
ff64317aa0e9fb1db212934d91305628
582abd096edc46a8b3f9668ac87a837d
1967aeeaf7bef281d877065656c19f2f
29cf1db34f6b03a2e02ea491cb3bab9c
c13b8a86d2137c1d7d2cfb8da27b20ec
2f95cab44e37f7244d4fcc1d63fa7942
43aac5543b41bc2272b590e4901bebae
428c9aea62d8988697db6e96900d5439
d493cc7db5f891f551e150e71b45a657
69651923703ae1614fa5bf5a3b87221b本文采用 署名-非商业性使用-相同方式共享 4.0 国际 许可协议,转载请注明出处。
