『安卓』PhantomLance APT 分析
2019年7月 , Dr.Web研究人员在GooglePlay中发现了一个后门木马 , 看似非常复杂 。之后 , 研究人员对其进行了调查 , 发现这是一个长期的攻击活动 , 研究人员将其命名为——PhantomLance 。其攻击活动可以追溯到2015年12月注册的一个域名 。研究人员从2016年开始该攻击活动发布了多个相关的样本 , 并出现在不同的应用市场中 。最近的一个样本就是2019年11月上传到GooglePlay中的 。
最新样本
【『安卓』PhantomLance APT 分析】GooglePlay中的监控软件的最新样本伪装成了浏览器清理器:
文章图片
文章图片
分析过程中 , 研究人员发现其与OceanLotusAPT攻击活动有一定的重叠 。研究人员发现其与之前的安卓攻击活动代码存在相似性 , 基础设施以及Windows后门也存在相似性 。
恶意软件版本
根据技术复杂性 , 研究人员将发现的样本分成3个不同的系列:1-3 , 其中1最简单 , 3最复杂 。但是1到3的复杂性并不是按照年份来分类的 , 比如v1系列的样本在2017到2019年都出现过 。
这些样本的功能都是相似的 , 主要目的是收集敏感信息 。基本功能包括收集地理位置信息、通话记录、通讯录、SMS , 应用可以收集安装的应用列表、型号、操作系统版本等设备信息 。此外 , 攻击者还可以下载和执行恶意payload , 下载的payload根据设备环境的不同而不同 , 比如安卓系统版本和安装的应用程序 。这样攻击者可以避免一些不必要的特征 , 同时收集所需的信息 。
传播
攻击者主要通过应用市场进行传播 。除了com.zimice.browserturbo外 , Dr.Web报告的com.physlane.opengl表明有许多恶意应用都通过GooglePlay传播 。
Googleplay中恶意软件的链接的搜索结果
研究人员确认一下应用中存在在GooglePlay中:
文章图片
文章图片
此外 , 研究人员发现多个第三方应用市场中仍然有恶意应用 , 比如https://apkcombo[.]com,https://apk[.]support/,https://apkpure[.]com,https://apkpourandroid[.]com 。
文章图片
文章图片
第三方网站上的恶意应用描述(越南语 , hxxps://androidappsapk[.]co/detail-cham-soc-be-yeu-babycare/)
恶意软件在开发过程中 , 会通过创建一个含有伪造的终端用户证书协议(end-userlicenseagreement,EULA)来构建一个伪造的开发者介绍 。示例如下:
文章图片
文章图片
含有伪造的开发者邮件的GooglePlay页面
下面是2019年10月17日注册的相关的Github账户:
文章图片
文章图片
伪造开发者身份的GitHub介绍
研究人员在分析过程中发现了攻击者用来传播恶意软件的一个技巧 。那就是:最初上传到应用市场的应用版本是不含有恶意payload或释放payload的代码的 。因为代码中不含有恶意内容 , 所以会被接受 。然后攻击者会在之后上传的版本中更新为含有恶意payload或释放和执行payload的代码 。研究人员在所有样本中都确认了这一技巧 , 并发现了2个含有和不含恶意payload的版本:
推荐阅读
- 36氪|微信视频号安卓端内测:新增关注、朋友、热门、附近视频列表
- Tech情报局TB|小米MIX4曝光:对标华为P40 Pro+,下半年最强安卓机皇预定?
- 羽度非凡|安卓旗舰性能榜单:骁龙865依然最强王者!
- 菜鸡养成记|华为手机四大“黑科技”,其中之一已经掏空整个安卓,EMUI媲美ios
- 大哥大短讯|安兔兔5月安卓手机性能榜,魅族17上榜,小米10pro上升到第三名
- |360安全卫士“横向渗透”防护功能上线
- Tech情报局TB|冤枉三星了,除华为外很多安卓10手机碰到它都会系统崩溃
- 搜狐新闻|59元双向18W快充:绿联PD快速充电宝加速降价,通吃苹果安卓协议
- 搜狐新闻|安卓手机容易卡顿,是因为处理器、内存的老化速度比苹果手机快?
- NEXTMIND|安卓用户小心!这张壁纸会把手机变成砖头