『安卓』PhantomLance APT 分析( 二 )
文章图片
文章图片
含有和不含有恶意payload的ApkPure
基础设施
分析C2服务器基础设施时 , 研究人员发现了多个域名 。这样可以发现攻击者的基础设施:
文章图片
文章图片
相关基础设施示例
研究人员追踪PhantomLance的基础设施 , 发现可以追溯到4年前 , 过期的域名也被续期了 。对域名的维护表明这些基础设施未来可能会再次被使用 。
文章图片
文章图片
PhantomLance的TTP表明这些样本的子域名被配置为C2服务器 , 父域名没用自己的IP解析 。研究人员发现有有效解析的域名被解析到同一个IP地址——188.166.203[.]57 , 这是一个云服务提供商的IP 。
研究人员查询DNS记录发现这些网站大都是合法的 , 但前面提到的PhantomLance域名和OceanLotus基础设施存在交叉:
·browsersyn[.]com
·cerisecaird[.]com
文章图片
文章图片
受害者分布
研究人员分析了针对安卓设备的约300起感染攻击 , 受害者分布在印度、越南、印尼、孟加拉国等 。下面是受攻击最多的国家分布:
文章图片
文章图片
此外 , 研究人员还发现了尼泊尔、缅甸、马来西亚等国的设备也有感染 。从中可以看出 , 南亚应该是该攻击组织的主要目标 。
为了深入分析目标受害者的情况 , 研究人员分析了恶意软件模仿的应用类型 。除了常见的flash插件、清理器、更新器外 , 有一些专门针对越南人的应用:
codedexon.churchaddress–"aimNhàTh"("ChurchPlace") 。查找附近或越南教堂、神父、电话号码 , 网站、电子邮件信息的应用 。
文章图片
文章图片
bulknewsexpress.news–"Tin247–cBáoHàngNgày"("每日新闻") , 一款模仿越南移动新闻应用www.tin247.com的应用程序 。
与其他攻击/APT之间的关系
研究人员分析发现PhantomLance的活动与OceanLotusAPT组织的攻击活动有一定的关联 。
2014-2017年OceanLotus安卓攻击活动
截止目前 , 受影响的用户主要位于越南 , 也有有少部分用户位于中国 。主要的感染向量是位于第三方网站的恶意应用 , 主要通过SMS或鱼叉钓鱼攻击传播 。
研究人员将OceanLotus(MD5:0e7c2adda3bc65242a365ef72b91f3a8)样本和PhantomLancepayloadv3代码结构进行了比较:
文章图片
文章图片
OceanLotus和PhantomLancepayloadv3代码结构比较
虽然有很多差异 , 但研究人员还是发现了一些相似的模型 。开发者看似是将module重命名为plugin了 , 但是意思是一样的 。重叠的类看起来也是相似的 , 功能也相同 。比如 , 下面是Parser类中包含的方法的比较:
推荐阅读
- 36氪|微信视频号安卓端内测:新增关注、朋友、热门、附近视频列表
- Tech情报局TB|小米MIX4曝光:对标华为P40 Pro+,下半年最强安卓机皇预定?
- 羽度非凡|安卓旗舰性能榜单:骁龙865依然最强王者!
- 菜鸡养成记|华为手机四大“黑科技”,其中之一已经掏空整个安卓,EMUI媲美ios
- 大哥大短讯|安兔兔5月安卓手机性能榜,魅族17上榜,小米10pro上升到第三名
- |360安全卫士“横向渗透”防护功能上线
- Tech情报局TB|冤枉三星了,除华为外很多安卓10手机碰到它都会系统崩溃
- 搜狐新闻|59元双向18W快充:绿联PD快速充电宝加速降价,通吃苹果安卓协议
- 搜狐新闻|安卓手机容易卡顿,是因为处理器、内存的老化速度比苹果手机快?
- NEXTMIND|安卓用户小心!这张壁纸会把手机变成砖头