长亭百川云 - 文章详情

伪装成MoviesWatch针对巴基斯坦地区隐蔽攻击活动分析

安天AVL威胁情报中心

59

2024-07-13

点击蓝字

关注我们

1. 背景概述

移动威胁情报团队在日常狩猎活动中发现伪装成MoviesWatch的恶意样本攻击活动,该样本基于DogRat开源间谍木马V3版本开发而来,并在DogRat木马的基础上削减了恶意功能模块且攻击者能够直接下达远控指令,以降低受害者的警惕性。

一旦安装,样本会窃取受害设备的通讯录、短信、图片、录音、装机应用列表、剪贴板和地理位置等大量隐私数据。攻击者利用Replit服务器搭建的TelegramBot上传受害者数据,并最终将数据存储在该服务器上。通过分析受害者数据,此次攻击活动早于2023年4月发生且目前仍在持续中,已发现受害者130+,主要受害区域为巴基斯坦。

2. 样本分析

样本基本信息:

图2-1 样本基本信息

样本包结构恶意功能模块如下:

图2-2 样本包结构

通过对样本代码的梳理发现样本具备接收远控指令、窃取短信、通讯录、私自截屏等一系列恶意功能。

远控指令及对应功能如下表:

远控指令

功能

clipboard

窃取粘贴板数据

device_info

窃取设备信息

call_recorder_start

开始通话录音

client_not_found

发送未找到客户端请求

camera_selfie

使用前置摄像头拍照

stop_audio

关闭录音

contacts

窃取通讯录信息

messages

窃取短信内容

keylogger_stop

停止记录键盘输入日志

apps

窃取应用列表

ping

检测websocket连通性

calls

窃取通话日志

vibrate

设备震动

take_screenshot

私自截屏

keylogger_start

开始记录键盘输入日志

location

获取位置信息

call_recorder_stop

停止通话录音

camera_main

后置摄像头拍照并以png格式保存

delete_file

删除指定路径文件

send_message

向指定手机号发送短信

file_explorer

获取文件列表

file

判断手机是否Root并上传指定路径文件

toast

显示一条Toast信息

send_message_to_all

向通讯录所有联系人发送短信

microphone

录音

change_device_name

更改设备名字

screen_record

记录屏幕信息

play_audio

播放音频

show_notification

显示通知栏信息

表1 远控指令及功能列表

■ 数据回传方式

样本的数据回传服务器地址存储在AppTools类中,采用base64算法进行编码。

图2-3 编码后C2地址

解码后得到C2服务器地址及一个视频播放页面如下:

https://bottestingreplit.osamakarim.repl.co/

https://www.movies-watch.com.pk/

访问https://www.movies-watch.com.pk/,是一个名为“Movies Watch online”的视频播放网站,pk.域名归属为巴基斯坦。

图2-4 movieswatchonline网站

分析C2服务器地址发现攻击者利用Replit服务器存储受害者数据,具体方式为:在Replit服务器上搭建TelegramBot,使用TelegramBot api上传样本收集到的数据,并最终将数据存储至服务器上。

通过技术手段成功访问了攻击者存储在Replit服务器上的TelegramBot项目信息,获取到了受害者数据:

图2-5 TGBot上存储受害者数据

■ 对比DogRat开源间谍木马特征变化

根据样本数据回传方式及流量特征,判断样本基于DogRat开源间谍木马开发而来。攻击者对样本的代码特征做了修改,在对比两者静态代码后,发现远控指令和恶意功能模块均有部分差异。

代码特征差异:

图2-6 包结构对比

远控模块差异:MovieWatch可以直接下达指令,而DogRat通过读取文件的方式获取远控指令。

图2-7 远控模块对比

3. 同源样本

通过对该样本的代码特征进行同源检索,在安天移动样本库中发现一例同源样本。同源样本基本情况如下,经分析恶意功能无变化,C2服务器地址与原样本一致。

图3-1 同源样本基本信息

4. 受害者情况

根据服务器上受害者数据存储时间可知,此次攻击活动应早于2023年4月26日,且目前仍在持续中,最新受害者数据更新时间为2023年11月25日。

总计发现受害者数据130余例,包含短信、联系人、设备信息、通话记录、多媒体文件等。根据受害者图片数据判断主要受害区域为巴基斯坦,并在一张图片中发现了疑似样本开发过程中的应用截图,以及攻击者使用TelegramBot进行远控操作的截图。

攻击者对不同类型的受害数据进行了分类存储,如下所示:

图4-1 受害数据存储文件夹

短信息:

图4-2 短信息

文档粘贴板数据:

图4-3 文档粘贴板数据

通讯录信息,经判断属于巴基斯坦移动电话号码,符合03XZ-YYYYYYY特征:

图4-4 通讯录信息

录音文件:

图4-5 录音文件

设备信息:

图4-6 设备信息

视频文件:    

图4-7 视频文件

通话记录信息:

图4-8 通话记录

装机列表信息:

图4-9 装机列表

图片数据:    

图4-10 图片数据

发现了巴基斯坦海关税务部门车辆登记信息表:

图4-11 巴基斯坦海关税务部门相关文件

疑似攻击者测试样本界面以及使用TelegramBot进行远控操作截图:    

图4-12 疑似攻击者测试样本的截图信息

5.总结与建议

此次针对巴基斯坦地区攻击活动,攻击者通过仿冒视频播放应用,窃取了受害者通讯录、短信、地理位置、通知栏、音视频等大量隐私数据,根据获取到的受害者数据推断,攻击活动已进行了大半年时间,持续时间较长,且受害者仍在不断增加中,目前已发现受害者数量130+,样本危害性较大,需引起个人用户警惕。

 建 议 

从官方及第三方可信渠道下载安装应用程序

安装应用时审查权限信息,谨慎授权某个应用访问不相关的权限

【附录】IOC

hash

· 534C0C26B6EB180EBCF19706788B928C

· 5B9EFB8E95AA859E17128DB4BDA13D8B

url

· https://bottestingreplit.osamakarim.repl.co/
· https://www.movies-watch.com.pk/

end

推荐阅读

/////

关于安天移动安全

武汉安天信息技术有限责任公司(简称安天移动安全)成立于 2010 年,是安天科技集团旗下专注于移动智能用户生态安全防护的科技公司。自主创新的移动反病毒引擎,在 2013 年以全年最高平均检出率荣获 AV-TEST“移动设备最佳防护”奖,实现了亚洲安全厂商在全球顶级安全测评领域重量级奖项零的突破。经过十余年的发展与积累,公司的反病毒引擎产品已与移动终端设备厂商、移动应用开发者、运营商、监管部门等移动设备产业链上下游企业机构伙伴成功合作,为全球超 30 亿移动智能终端设备提供全维度、全生命周期安全护航,已发展成为全球领先的移动互联网安全防护厂商。安天移动安全始终秉承安全普惠使命,通过自主创新国际领先的安全核心技术,与产业链各方共同打造操作系统内生安全的绿色生态链,为新时代用户打造国民级安全产品,在万物互联时代营造更安全和可持续的全场景健康数字体验。

关于安天移动威胁情报团队

安天移动威胁情报团队致力于移动APT活动研究及移动安全攻防对抗技术研究,由一支拥有前沿移动端安全对抗技术、多年境外APT组织实战对抗经验、漏洞分析与挖掘能力的一流安全工程师团队组成。在近些年,成功通过基于安天移动样本大数据的APT特马风控预警运营体系,持续发现包含肚脑虫、利刃鹰、APT37等多个APT组织的移动端攻击活动,并依托该体系建立了一线移动端攻击活动的捕获能力、拓线溯源分析能力。安天移动威胁情报团队未来将仍持续专注于移动安全领域研究,以安全普惠为核心价值观,建设一支召之即来,来之能战,战之必胜的顶尖网络安全团队,并将长久且坚定地维护移动网络世界安全。

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2