【安全资讯】DoNot"移动军刀"
概述:
DoNot主要目标为巴基斯坦和南亚地区,该组织主要针对政治与军事等领域进行攻击,其中以窃取敏感信息为主。
在南亚弥漫着网络武器战的硝烟的同时,政治和军火持续碰撞,网络战争对抗愈发强烈,小到组织大到国家,网络战术和武器库随着攻击体系的成熟,得益于技术的完善架构持续升级。
图一:攻击热力分散图
背景:
近期,安恒情报中心监测到DoNot移动端”新兵老兵”攻击趋势稳步上升,DoNot移动安装包以Service命名为主,带有特色背景KNS/Sikh样本都曾被安全厂商分析。
移动端攻击框架稳定在19年的攻击架构,历史来看攻击仍是去年的套路,伪装运行弹出页面诱使点击OK按钮,跳转至手机自身的设置从而达到欺骗受害者,后台应用已运行自我保护和C2窃密。
样本分析:
➥ 动作一:自我保护
1) 欺骗弹窗
2) 图标隐藏
3) apk包伪装
➥ 动作二:C2
1) 功能参数
指令 | 功能 |
Call | 窃取通话记录数据 |
CT | 窃取通讯录数据 |
SMS | 窃取短信 |
Key | 捕获键盘输入 |
Tree | 窃取外置存储卡文件列表 |
AC | 窃取Account数据 |
Net | 查询WiFi数据 |
CR | 设置通话录音 |
LR | 设置时间通话录音 |
FS | 文件上传 |
GP | 获取当前位置 |
PK | 窃取手机软件安装列表 |
Wapp | 窃取whatsapp聊天记录 |
2) 提取url:
通过还原解密算法提取url:spectronet.pw
解析ip:161.35.0.53
肚脑虫C2分发指向的IDC服务器来自于荷兰,德国国家地区偏多。
3) 日志记录
框架演变:
1) 模块演化:
老版模块英文数字命名代码,分发执行恶意指令,Main中直接部署了诱骗弹窗代码,稳定版集成到Jvm.LocalFragment且基本模块都集成到LocalFragment。
C2恶意指令分发和功能实现从ten过度dcteat模块,迭代过程中代码细节逐步完善,添加了良好的容错机制和编程范式,引入了接口模块。
2) 保护模块引入
老版样本Url明文硬编码方式留存,19年捕获样本引入解密函数,进行了base64和特殊字符异或。
总结:
过去的几年中,APT移动攻击持续被披露,基于Andriod僵尸网络和蠕虫传播同样层出不穷,Andriod安全是移动互联网版图重要的一块。
全球智能手机用户不断攀升和5G时代的到来,移动安全领域将会影响深远。漏洞同样是不可忽视的问题,如16年的脏牛漏洞,性质恶劣,据CVE Detail数据统计,19年Andriod以414漏洞数据数排行第一。
