以色列国防军发言人于上周日透露,以色列国防军和以色列国家安全局近日进行了一项联合执法,成功阻止了一场哈马斯(Hamas,伊斯兰抵抗运动组织的简称)针对以色列国防军士兵发起的攻击行动。
这场代号为“Rebound”的攻击行动被怀疑与“双尾蝎”(APT-C-23)存在关联,这是一个自2016 年 5 月起就一直在针对巴勒斯坦和以色列两国教育、军事等重要领域实施有组织、有计划、有针对性攻击的黑客组织。
在这篇文章中,我们将带来网络安全公司Check Point针对在Rebound行动中攻击者所使用的恶意软件的技术分析,以及Rebound行动与APT-C-23的关联。
技术分析
根据Check Point的说法,在Rebound行动中,攻击者使用了手机远程访问木马(MRAT,Mobile Remote Access Trojan),它们均被伪装成了约会APP,包括“GrixyApp”、“ZatuApp”以及“Catch&See”。
首先,受害者会收到一个充满魅力的美女发来的链接。毫无疑问,这个链接就是用来下载恶意APP的,而这个所谓的美女到底美不美,或者到底是不是女性,这就无法考究了。
安装并打开APP后,受害者便会看到一条错误消息,提示设备不支持、APP将自行卸载。实际上,卸载并不会发生,恶意APP只是隐藏了自己的图标。
图1.虚假的错误消息
图2.隐藏图标演示
随后,恶意APP便会通过MQTT协议与C2服务器进行通信。
图3.C2通信
恶意软件的主要功能是收集受害者的设备信息,如手机号、物理位置以及短信等,同时兼具通过接收的一个命令来扩展其代码的能力。
图4.收集设备信息
图5.收集已安装的APP列表
图6.收集存储信息
恶意APP接收到的命令会提供给它一个下载链接,指向一个DEX文件。
图7.下载DEX文件的代码
与APT-C-23的关联
在对Rebound行动进行了深入分析之后,Check Point发现攻击者所使用的战术、技术和程序(TTP)与APT-C-23在之前的活动中所使用的TTP非常类似。
比如,在Rebound行动中,攻击者同样也使用了适用于安卓设备的后门程序,即伪装成约会软件的一系列恶意APP。
且为了推广这些APP,攻击者同样也搭建了经过精心设计的网站,以提供恶意APP的下载链接。
图8.恶意APP推广网站
在恶意APP推广网站catchansee[.]com上,出现了Jim Morrison、Eliza Doolittle以及Gretchen Bleiler等名人的名字,而这正是APT-C-23常见的行为——在源代码和C2通信中引用影视角色的名字或名人的名字。
图9.服务器代码中对名人名字的引用
结语
此项行动再次提醒我们,仅靠系统开发人员的努力还不足以构建安全的安卓生态系统。构建安全的安卓生态,需要系统开发人员、设备厂商、APP开发人员和用户的共同关注和参与,以确保漏洞修复程序的及时开发、分发、应用和安装。
评论前必须登录!
注册