手机上怎么买彩票双色球 微信上有人推荐买彩票 能合买彩票的平台 夫妻买彩票狂中30亿 买彩票心态 买彩票就买大乐透开奖结果 哪个平台买彩票安全吗 买彩票有买一个号的吗 怎么看走势图买彩票 如何在电脑上买彩票 美国几岁可以买彩票? 福彩工作人员买彩票 彩客网买彩票 能在微信上买彩票吗 怎么买彩票容易中

肚脑虫团伙利用新特种安卓木马StealJob的攻击分析

来源本站整理 作者佚名 时间2019-04-28 TAG 我要投稿

肚脑虫(APT-C-35)由奇安信高级威胁研究团队持续跟踪发现并命名其主要针对巴基斯坦等南亚地区国家进行网络间谍活动的组织此APT组织主要针对政府机构等领域进行攻击以窃取敏感信息为主要目的该APT组织除了以携带Office漏洞或者恶意宏的鱼叉邮件进行恶意代码的传播之外还格外擅长利用恶意安卓APK进行传播
近期经监控本高级威胁研究团队发现该组织对其恶意安卓APK框架进行了大规模升级无论是实用性还是稳定性都增强了不少由于本次使用的APK框架与以往所使用的样本差异性过大因此我们通过使用其代码中出现频率较高的词汇Job将该框架命名为StealJob
以下为详细分析
诱饵分析
本次发现的APK样本名为 “KashmirVoice”(克什米尔之声)的APP
其中克什米尔指的是查谟-克什米尔地区简称包括克什米尔谷和查谟平地这本来是两个独立的邦国查谟?#29992;?#20027;要信奉印度教克什米尔?#29992;?#21364;基本上信奉伊斯兰教1846年查谟首领从英国人?#31181;新?#19979;了被占领的克什米尔而克什米尔人口数?#38431;?#26597;谟这就种下了后来争端的根源
而克什米尔争端指的便是印度和巴基斯坦对查谟和克什米尔地区主权纷争而引发的一系列问题两国为了这块土地打了不知多少年
而就在近日巴基斯坦情报部门称印度在2019年4月16日-20日会在此发动攻击这也充?#31181;?#26126;了两国之间的摩擦和矛盾加剧,或将开战

而克什米尔之声指的是一个网站该网站用于宣传印度军队的暴力行为疑似巴基斯坦建立


因此该APP有很大概率是为了针对一些会上该网站进行浏览的巴基斯坦人所精心定做
并且我们发现该样本上传地为印度

通过包名进行初步分析该样本疑似为测试样本并?#20197;?#23558;该样本和过去该组织的样本进行对比发现样本存在很大差异性

结合上述因素我们初步判断该样本为攻击者为了针对会访问克什米尔之声网站的巴基斯坦人而订做的APP版本的诱饵攻击并为了进?#32961;?#35797;而上传至VT
样本分析
样本名称通过仿冒为“KashmirVoice”(克什米尔之声),诱骗用户安装因为是测试样本其包名与图标均没有进行仿冒
当样本运行以后会进行多达20种远控操作其中包含测试操作其远控操作有获取用户手机通讯录用户手机短信用户手机通话记录用户地理位置用户手机文件用户手机已安装软件等并进行上传
以下为样本流程图

运行后可看到样本安?#24052;?#26631;以及运行界面



其中该APP的权限申请如下图所示大多为敏感权限

下面开始通过代码进行分析
1.程序通过仿冒应用诱骗用户安装使用运行后诱骗用户软件?#30740;对أ?#23454;则隐藏自身图标从而达到保护自身的目的

2.程序通过读取本地数据库文件从而获取远控指令达到对用户手机?#33041;?#25511;操作


[1] [2] [3] [4]  下一页

声明:黑吧安全网(http://www.rliwo.live)?#31363;?#27492;文出于传递更多信息之目的并不代表本站赞同其观点和对其真实性负责仅适于网络安全技术爱好者学习研究使用学习中请遵循国家相关法律法规如有问题请联系我们联系邮箱[email protected]我们会在最短的时间内进行处理
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载
        ƱȨַ
        手机上怎么买彩票双色球 微信上有人推荐买彩票 能合买彩票的平台 夫妻买彩票狂中30亿 买彩票心态 买彩票就买大乐透开奖结果 哪个平台买彩票安全吗 买彩票有买一个号的吗 怎么看走势图买彩票 如何在电脑上买彩票 美国几岁可以买彩票? 福彩工作人员买彩票 彩客网买彩票 能在微信上买彩票吗 怎么买彩票容易中