欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

Donot APT组织(肚脑虫)伪装克什米尔新闻APP的攻击活动分析

来源:本站整理 作者:佚名 时间:2019-09-10 TAG: 我要投稿


 
背景
Donot“肚脑虫”(APT-C-35)是疑似具有南亚背景的APT组织,由奇安信威胁情报中心红雨滴团队(@RedDrip7)持续跟踪发现并命名,其主要针对巴基斯坦等南亚地区国家进行网络间谍活动。
该APT组织主要针对政府机构等领域进行攻击,以窃取敏感信息为主要目的。该APT组织除了以携带Office漏洞或者恶意宏的鱼叉邮件进行恶意代码的传播之外,还格外擅长利用安卓APK进行恶意代码传播。
近期,随着印巴在克什米尔地区(Kashmir)冲突的不断升级,具有南亚背景的APT团伙纷纷采用该地区冲突相关信息作为诱饵针对巴基斯坦进行攻击活动。奇安信威胁情报中心刚曝光了摩诃草在PC端利用克什米尔相关信息为诱饵的攻击活动[1],同样具有南亚背景的Donot APT组织也不甘示弱开始展开其在移动端的攻击火力。奇安信红雨滴团队在捕获Donot 移动端新样本的第一时间便对其进行了披露。

样本信息
文件名称
KNS Lite
软件名称
KNS Lite
软件包名
com.newlite.sapp
MD5
497A67D28058A781681F20E32B7B3D6A
安装图标

 
诱饵分析
此次发现的Donot新样本通过仿冒Kashmir News Service(克什米尔新闻服务)的APP“KNS”,诱骗用户安装使用。
克什米尔新闻服务公司KNS是查谟和克什米尔的第一家在线新闻机构,成立于2002年1月,现已成为该州首屈一指,可信赖的双语,英语和乌尔都语新闻机构。
近期,印巴两军在克什米尔军事对峙线附近再度爆发了摩擦战,根据巴方披露的消息,本次交战已造成3名巴基斯坦士兵和5名印军士兵死亡。而随着克什米尔局势的“循环上升”,全世界的焦点无疑都集中在“克什米尔”,因此Donot新的诱饵通过仿冒Kashmir News Service(克什米尔新闻服务)其目的显而易见。
诱饵APP图标:

样本运行截图:

Google商城正版APP截图:

Kashmir News Service(克什米尔新闻服务)官网截图:

样本分析
样本行为描述
此次新发现的Donot样本,其在代码结构上并没有过多的改变,恶意代码功能方面也没有增加额外的功能。而与以往的不同之处,在于对诱饵文件的“包装”以及恶意APP的功能完整性方面的“用心”。
恶意APP运行以后,并没有以往的隐藏自身图标,而是通过仿冒Kashmir News Service(克什米尔新闻服务)展现给用户一个完整的新闻APP功能,从而达到欺骗用户放心使用,更加安全的保存了自身。
样本运行以后会在后台,通过最新服务端(mangasiso.top)下发15种远控指令,其远控操作有:获取用户手机通话记录信息、获取用户手机通讯录信息、获取用户手机短信息、获取外置存储卡文件列表信息、获取WiFi、设备厂商等信息、获取用户地理位置信息、获取用户手机已安装软件列表等。
远控指令列表:
指令下发服务器
指令
指令功能
 
 
 
 
 
 
mangasiso.top
Call
获取用户手机通话记录信息
CT
获取用户手机通讯录信息
SMS
获取用户手机短信息
Key
获取App输入的内容信息
Tree
获取外置存储卡文件列表信息
AC
获取Account信息
Net
获取WiFi、设备厂商等信息
CR
设置用户手机电话通话录音
LR
设定特定时间段录音
FS
文件上传开关
GP
获取地理位置信息
PK
获取用户手机已安装软件列表
BW
获取chrome书签列表
CE
获取日历事件信息
Wapp
获取whatsapp聊天信息
程序运行流程图:

详细代码分析
通过访问Kashmir News Service(克什米尔新闻服务)官方新闻链接,诱骗用户:


加载Youtube新闻视频,进一步伪装自己:

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载