安天移动安全联合猎豹移动首次揭露“Operation Manul”疑似在Android端的间谍软件行为

By | 2017年8月12日

间谍软件窃听2

前言

  去年8月份,美国黑帽大会曾公开发表了一篇报告,揭露了名为“Operation Manul”的组织针对该国相关人士进行的大面积网络攻击和窃听行为,并分析了其在PC端使用的窃听技术及域名。

  通过对报告中披露的多个用做指令控制和文件上传的C2 Server域名进行内部检索对比,安天移动安全联合猎豹移动发现了一批相关恶意样本,分析发现该间谍软件通过伪装成海外知名应用潜入目标用户手机,在获取权限后会展开一系列窃听行为:私自拍照、录音,并窃取用户短信、通讯录、地理位置等隐私信息,而后将相关数据上传至远程服务器。

  这是自报告公开以来首次发现“Operation Manul”组织疑似在Android平台存在攻击行为,以下是对我们捕获的安卓端间谍软件的详细分析。

一、简要分析

  安天移动安全与猎豹移动联合发现的这批间谍软件,皆伪装为海外知名应用并将恶意代码注入其中,进而对目标用户实施恶意攻击。被伪装的知名应用不乏有即时通讯软件WhatsApp、流量加密软件Orbot以及互联网代理服务软件Psiphon等。

  被植入恶意模块的应用程序包结构如下图所示:1

二、分析对象说明

  我们发现攻击者在不同的知名应用中所植入的恶意模块几乎完全一致,故选择其中一个样本进行下述详细分析。分析对象如下:2

三、恶意行为分析

  通过AM文件可以看到,该间谍软件为了达成窃取短信、通话、录音等用户敏感隐私信息,注册了大量的receiver和相关权限。以下是恶意模块的相关属性: 3

  根据程序运行逻辑,整体恶意行为的攻击路线大致分为3个步骤:

Step1 敏感权限获取

  该病毒首先会请求用户给予相应的权限,如调用摄像头、录音、获取地理位置、获取通话记录和读取短信等权限,为后续窃取目标用户的敏感信息做攻击前准备。45

  而后,该病毒的Pms和Pmscmd模块会对当前程序是否获得关键权限进行确认。如未获得相应权限,则再次发起权限申请请求,确保权限到手以进行信息窃取。6

Step2 执行远控指令

  该病毒的主体恶意行为的执行基本完全依赖于远程服务器所发送的指令。该病毒开机自启动后立即运行恶意模块,通过https接收远程控制服务器发送的控制指令信息。基于指令信息执行相应的恶意行为,最终实现隐私信息的窃取和代码自我更新的目的。接下来我们对该过程进行详细介绍。

  ReSeRe是一个自启动项,用于启动该木马的主要恶意服务MySe:7

  MySe为此程序最主要的恶意模块,onCreate会启动线程F:8

  线程F包含接收远控命令,解析远控命令,执行恶意行为:91011-2

  远程控制指令中包含了大量用户隐私信息窃取指令,如窃取用户短信、联系人、通话记录、地理位置、浏览器信息、手机文件信息、网络信息、手机基本信息,私自拍照、录音等等,收集信息后进而将这些用户敏感数据上传至远程服务器。12

step3 执行代码内其他恶意模块

  通过ReSe恶意模块对用户环境进行录音:13

  MyPhRe主要是监听通话的作用:14

四、溯源分析

  通过分析,从代码中我们找到了用于通信的C&C服务器:15

  解密上述地址后得到明文C&C地址,解密的key为Bar12345Bar12345: 16.0

  同时,根据该C&C服务器的域名,我们在去年黑帽大会发布的报告中发现了相同的域名地址。原报告盘点了Operation Manul在PC侧所实施的钓鱼等一系列攻击所使用的服务器信息(如下图所示),其中包含了adobeair.net域名,而这一定程度也印证了我们所捕获的安卓端病毒源自原报告所指的Operation Manul组织的可能性。17

图注:上图来源于黑帽大会上发布的报告

  使用whois对域名adobeair.net进行反查后,我们发现了一个疑似开发者的邮箱:iainhendry@blueyonder.co.uk,其所持有adobeair.net域名的时间与原报告提出的攻击时间吻合。

  同时通过进一步搜索,我们查询到了该邮箱用户开发的用于应用推广的网页http://www.androidfreeware.net/developer-3195.html。而其中所推广的安卓应用都为其所开发。因此猜测该邮箱用户应该也是一位具有安卓编程能力的开发者。而这一定程度也与本文安卓端间谍软件活动的溯源进行了一次关联。 18

五、总结

  近几年,随着智能手机和移动网络在世界范围内的普及,移动端的定向攻击也逐步增多,并出现和PC端进行高度结合的趋势。两者往往相互配合,获取高价值的具有个人身份属性的信息,成为恶意攻击中的重要一环。与此同时,由于移动设备的边界属性和高社会、高隐私属性,一旦攻击成功,极有可能导致攻击结果出现雪崩效应,损失不断扩大。本次“Operation Manul”攻击事件不仅是一个疑似PC端和Android端联合攻击的案例,同时也是针对特定目标人群实施的定向攻击的典型事件。

  而针对高价值用户进行的定向攻击往往是移动威胁对抗中的经典长尾问题。尾部安全事件由于其受众明确、攻击意图直接、涉及用户重度隐私的特点,往往给目标受害群体带来了不可比拟的损失。对此安全厂商更需要密切关注并持续提升长尾威胁的对抗能力,真正为用户侧的移动安全保驾护航。

附录

IOC (Android):19

关于安天移动安全

  安天移动安全公司成立于2010年,是安天实验室旗下专注于移动互联网安全技术与安全产品研发的企业,旨在为全球移动终端用户和厂商提供专业的安全防护能力和解决方案。

  安天移动安全公司核心产品体系为AVL Inside移动反病毒引擎和AVL Insight移动威胁情报平台。AVL Inside曾以年度最高平均检出率荣获国际权威测评机构AV-TEST颁发的“移动设备最佳防护”奖项,实现中国安全厂商在全球顶级安全测评领域重量级奖项零的突破。AVL Insight是国内首个移动威胁情报大数据平台,主要用于呈现移动威胁的高价值情报信息,通过对移动威胁的全面感知能力和快速分析响应能力,提供对抗移动威胁的预警和处置策略。

  安天移动安全公司与国家互联网应急中心和泰尔终端实验室进行合作,为国家监管部门提供技术支撑;与知名芯片厂商高通进行合作;为OPPO、VIVO、小米、魅族、金立、阿里YunOS、步步高、努比亚、乐视、猎豹、LBE、安卓清理大师、AMC等国内外近百家知名厂商提供技术和产品服务,为全球超过9亿终端用户保驾护航。

  更多信息详见公司官网:http://www.avlsec.com

  转载请注明来源:http://blog.avlsec.com/?p=4898

更多技术文章,请关注AVL Team官方微信号

AVL-team二维码

发表评论

电子邮件地址不会被公开。 必填项已用*标注