手机上怎么买彩票双色球 微信上有人推荐买彩票 能合买彩票的平台 夫妻买彩票狂中30亿 买彩票心态 买彩票就买大乐透开奖结果 哪个平台买彩票安全吗 买彩票有买一个号的吗 怎么看走势图买彩票 如何在电脑上买彩票 美国几岁可以买彩票? 福彩工作人员买彩票 彩客网买彩票 能在微信上买彩票吗 怎么买彩票容易中

肚脑虫团伙利用新特种安卓木马StealJob的攻击分析

来源:本站整理 作者:佚名 时间:2019-04-28 TAG: 我要投稿

肚脑虫(APT-C-35),由奇安信高级威胁研究团队持续跟踪发现并命名,其主要针对巴基斯坦等南亚地区国家进行网络间谍活动的组织。此APT组织主要针对政府机构等领域进行攻击,以窃取敏感信息为主要目的。该APT组织除了以携带Office漏洞或者恶意宏的鱼叉邮件进行恶意代码的传播之外,还格外擅长利用恶意安卓APK进行传播。
近期,经监控,本高级威胁研究团队发现该组织对其恶意安卓APK框架进行了大规模升级,无论是实用性还是稳定性都增强了不少,由于本次使用的APK框架与以往所使用的样本差异性过大,因此我们通过使用其代码中出现频率较高的词汇Job,将该框架命名为StealJob。
以下为详细分析。
诱饵分析
本次发现的APK样本名为 “KashmirVoice”(克什米尔之声)的APP。
其中克什米尔指的是查谟-克什米尔地区简称,包括克什米尔谷和查谟平地。这本来是两个独立的邦国。查谟?#29992;?#20027;要信奉印度教,克什米尔?#29992;?#21364;基本上信奉伊斯兰教。1846年查谟首领从英国人?#31181;新?#19979;了被占领的克什米尔。而克什米尔人口数?#38431;?#26597;谟。这就种下了后来争端的根源。
而克什米尔争端指的便是印度和巴基斯坦对查谟和克什米尔地区主权纷争而引发的一系列问题,两国为了这块土地打了不知多少年。
而就在近日,巴基斯坦情报部门称印度在2019年4月16日-20日会在此发动攻击,这也充?#31181;?#26126;了两国之间的摩擦和矛盾加剧,或将开战。

而克什米尔之声指的是一个网站,该网站用于宣传印度军队的暴力行为,疑似巴基斯坦建立。


因此,该APP有很大概率是为了针对一些会上该网站进行浏览的巴基斯坦人所精心定做。
并且我们发现该样本上传地为印度:

通过包名进行初步分析,该样本疑似为测试样本,并?#20197;?#23558;该样本和过去该组织的样本进行对比发现,样本存在很大差异性。

结合上述因素,我们初步判断,该样本为攻击者为了针对会访问克什米尔之声网站的巴基斯坦人而订做的APP版本的诱饵攻击,并为了进?#32961;?#35797;而上传至VT。
样本分析
样本名称通过仿冒为“KashmirVoice”(克什米尔之声),诱骗用户安装,因为是测试样本,其包名与图标均没有进行仿冒。
当样本运行以后,会进行多达20种远控操作,其中包含测试操作,其远控操作有:获取用户手机通讯录、用户手机短信、用户手机通话记录、用户地理位置、用户手机文件、用户手机已安装软件等并进行上传。
以下为样本流程图:

运行后,可看到样本安?#24052;?#26631;以及运行界面:



其中,该APP的权限申请如下图所示,大多为敏感权限:

下面开始通过代码进行分析:
1.程序通过仿冒应用,诱骗用户安装使用,运行后诱骗用户软件?#30740;对兀?#23454;则隐藏自身图标,从而达到保护自身的目的:

2.程序通过读取本地数据库文件,从而获取远控指令,达到对用户手机?#33041;?#25511;操作:


[1] [2] [3] [4]  下一页

【声明】:黑吧安全网(http://www.rliwo.live)?#31363;?#27492;文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱[email protected],我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载
        购买彩票权威网址
        手机上怎么买彩票双色球 微信上有人推荐买彩票 能合买彩票的平台 夫妻买彩票狂中30亿 买彩票心态 买彩票就买大乐透开奖结果 哪个平台买彩票安全吗 买彩票有买一个号的吗 怎么看走势图买彩票 如何在电脑上买彩票 美国几岁可以买彩票? 福彩工作人员买彩票 彩客网买彩票 能在微信上买彩票吗 怎么买彩票容易中
        云南麻将 曲靖飞小鸡 甘肃11选5计划 快速赛车开奖官网结果 剑网3指尖江湖logo 亿乐游棋牌怎么样 王者pc蛋蛋计划群 幸运狮子闯关 海底总动员中文 大阪樱花川崎前锋 阿尔希拉尔3-阿尔艾因