GoldenCup——针对以色列世界杯球迷的新网络威胁

ang010ela 新闻 2018年7月9日发布
Favorite收藏

导语:随着世界杯的进行,与世界杯相关的新威胁也随之产生了。本文分析攻击世界杯球迷的网络威胁GoldenCup。

以色列国防部官员称近日发现一起针对以色列士兵的Android监视软件恶意活动——Hamas。最新的样本是ClearSky的安全研究人员发现的。

本研究中重点关注最新的样本,一个世界杯前夕上线的名为Golden Cup的安卓应用。

传播和感染

该恶意活动开始于2018年初,恶意软件(GlanceLove/ WinkChat)主要通过虚假的Facebook简介进行传播,尝试诱使IDF士兵在另外一个平台上进行社交活动,而这个平台就是恶意软件。这个方法并不是那么成功,最后一次尝试是快速创建了一个World Cup应用,并且分发给以色列公民,而不仅仅是士兵。

image.png

官方Golden Cup的Facebook页面,短链接会把用户重定向到Google Play的应用页。

image.png

研究人员认为开发者非常匆忙,因为缺乏任何有效的混淆,即使C&C服务器端暴露了每个人都可以遍历的文件,含有大约8G的被窃数据。

image.png

goldncup.com最近的whois查询结果

工作原理

为了能成功地进入Google Play应用商店,恶意软件使用了常用的一种阶段化的方法。第一版的APP看起来是无害的,其中大多数的代码执行是APP提供的功能。但APP会收集设备的ID和其他数据。

在从C&C服务器接收到命令后,APP会下载一个.dex形式的恶意payload,.dex文件会动态地加载,并提供一些恶意能力。

利用这种方式,恶意软件作者成功地将APP提交到Google Play应用商店。而恶意功能是动态加载的。

与C&C服务器通信

为了与C&C服务器通信,APP使用了MQTT(Message Queuing Telemetry Transport消息队列遥测传输)协议,该协议使用TCP 1883端口。

image.png

初始化MQTT客户端

APP会用硬编码的用户名和密码以及唯一的设备ID来连接到MQTT代理上。

image.png

到代理的MQTT连接

MQTT通信主要是用于更新设备状态,并且从C&C服务器获取命令。其中设备端用于发送消息,消息和命令中都含有设备ID。

HTTP通信

除了MQTT通信外,APP还会用明文HTTP通信来下载.dex文件和上传收集的数据。

所有上传和下载的文件都是zip文件格式,并使用AES的ECB模式加密。每个文件的key都是随机生成的,并且保存在加密后的文件的固定偏移量中。

为了上传文件,APP会与服务器进行基本的REST通信,检查文件是否存在,然后决定是否上传。

文件的上传路径为:

http://<domain>/apps/d/p/op.php

通信是:

image.png

Phase 1

APP攻击流的第一阶段是收集设备信息和设备上安装的APP列表。然后上传到C&C HTTP服务器。

image.png

image.png

基本设备信息收集

另外,这一阶段APP可以处理的命令如下:

· Collect device info

· Install app

· Is online?

· Change server domain

在这些命令中,最有趣的命令是install app,该命令会下载含有第二阶段dex文件的加密zip文件,然后解压并加载。

Phase 2

二阶段dex文件含有3个主要的服务:

· ConnManager – 处理到C&C服务器的连接

· ReceiverManager – 等待调用或APP安装

· TaskManager –  管理数据收集任务

C&C服务器地址与Phase 1使用的不同,所以APP可以重新连接到新服务器,并且开启周期性的数据收集任务。

通过分析TaskManager类,可以看到支持这一阶段的新命令:

image.png

从上面的代码段,我们可以看出,有许多数据收集任务是可用的,包括:

· 收集设备信息

· 跟踪位置

· 上传联系人信息

· 上传已发送和已接收的短信

· 上传图片

· 上传视频文件

· 发送外部存储的递归目录

· 上传特定文件

· 使用麦克风录制音频

· 录制通话

· 使用相机连续拍照

这些任务要么是周期性的运行,要么也可以在事件(例如来电)发生或从C&C服务器获得命令时运行。

缓解措施

不要从不熟悉的站点下载APP;

只安装来自可信源的APP;

注意应用请求的权限;

安装手机安全助手;

及时更新操作系统;

对主要数据经常备份。

IoCs

包名:

anew.football.cup.world.com.worldcup

com.coder.glancelove

com.winkchat

APK的SHA2:

166f3a863bb2b66bda9c76dccf9529d5237f6394721f46635b053870eb2fcc5a
b45defca452a640b303288131eb64c485f442aae0682a3c56489d24d59439b47
d9601735d674a9e55546fde0bffde235bc5f2546504b31799d874e8c31d5b6e9
2ce54d93510126fca83031f9521e40cd8460ae564d3d927e17bd63fb4cb20edc
67b1a1e7b505ac510322b9d4f4fc1e8a569d6d644582b588faccfeeaa4922cb7
1664cb343ee830fa94725fed143b119f7e2351307ed0ce04724b23469b9002f2

被加载的DEX文件的SHA2:

afaf446a337bf93301b1d72855ccdd76112595f6e4369d977bea6f9721edf37e

域名/IP地址:

goldncup[.]com

glancelove[.]com

autoandroidup[.]website

mobilestoreupdate[.]website

updatemobapp[.]website

107[.]175[.]144[.]26

192[.]64[.]114[.]147

本文翻译自:https://www.symantec.com/blogs/expert-perspectives/goldencup-new-cyber-threat-targeting-world-cup-fans如若转载,请注明原文地址: http://www.4hou.com/info/news/12452.html
点赞 1
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论