-
-
[转帖]研究人员首次发现用于针对性攻击的Android木马
-
发表于: 2013-3-28 16:36
-
APT攻击已经不是什么新鲜事,但是以前一直是针对Windows和Mac OS X等平台的攻击,近日,卡巴斯基实验室的研究人员发现一次有针对性的APT攻击,其中利用了Android平台木马来进行钓鱼。 据卡巴斯基实验室的研究人员称,一位知名西藏活动人士的电子邮件帐户遭黑客入侵,攻击者随后向邮件联系人列表中的用户发动了钓鱼攻击,其中包含了一个恶意的Android APK包,附件名为WUC’s Conference.apk,如下图:
邮件内容上面提到了在日内瓦举行的一个人权会议,当该Android包一旦被用户安装,名为Conference的应用程序会在Android桌面上显示。如下图:
如果受害者执行该程序之后,会出现“Dolkun lsa Chairman of the Executive Committee Word Uyghur Congress” 相关信息,这里写程序的码工又开小差了,World写成了Word,该扣工资了。 接下来恶意软件会窃取手机上的联系人、通话记录、短信、地理位置和其他的一些手机数据,如OS版本、手机型号、SDK版本等,然后传送到架设在美国洛杉矶的C&C服务器。 按恶意软件的流程来走的话,数据应该传送到远端C&C服务器上去,但是奇怪的是,研究人员发现该软件没有发送这些数据。卡巴斯基研究院表示,该版本可能仅仅是一个早期原型版本,只用于调试目的。 卡巴斯基研究人员还在C&C服务器的IP地址上发现了一个域名,“DlmDocumentsExchange.com”。注册时间是2013年3月8日,注册名是“peng jia”,(贾鹏?),注册邮箱是bdoufwke123010@gmail.com。
另外一个有趣的是,在DlmDocumentsExchange.com源码里发现如下代码:
http://static.freebuf.com/uploads/image/20130327/20130327225728_79197.jpg
其中引用的Document.apk有333583字节大小,MD5值为c4c4077e9449147d754afd972e247efc,该APK功能和Conference.apk一样,但是包含不同的文本内容,新的文本内容如下:
用浏览器打开IP64.78.161.133发现几段随机的字符串,如下:
连接到该IP的远程桌面,界面语言为中文,卡巴斯基表示,攻击者可能来自中国,如下:
邮件内容上面提到了在日内瓦举行的一个人权会议,当该Android包一旦被用户安装,名为Conference的应用程序会在Android桌面上显示。如下图:
如果受害者执行该程序之后,会出现“Dolkun lsa Chairman of the Executive Committee Word Uyghur Congress” 相关信息,这里写程序的码工又开小差了,World写成了Word,该扣工资了。 接下来恶意软件会窃取手机上的联系人、通话记录、短信、地理位置和其他的一些手机数据,如OS版本、手机型号、SDK版本等,然后传送到架设在美国洛杉矶的C&C服务器。 按恶意软件的流程来走的话,数据应该传送到远端C&C服务器上去,但是奇怪的是,研究人员发现该软件没有发送这些数据。卡巴斯基研究院表示,该版本可能仅仅是一个早期原型版本,只用于调试目的。 卡巴斯基研究人员还在C&C服务器的IP地址上发现了一个域名,“DlmDocumentsExchange.com”。注册时间是2013年3月8日,注册名是“peng jia”,(贾鹏?),注册邮箱是bdoufwke123010@gmail.com。
另外一个有趣的是,在DlmDocumentsExchange.com源码里发现如下代码:
http://static.freebuf.com/uploads/image/20130327/20130327225728_79197.jpg
其中引用的Document.apk有333583字节大小,MD5值为c4c4077e9449147d754afd972e247efc,该APK功能和Conference.apk一样,但是包含不同的文本内容,新的文本内容如下:
用浏览器打开IP64.78.161.133发现几段随机的字符串,如下:
连接到该IP的远程桌面,界面语言为中文,卡巴斯基表示,攻击者可能来自中国,如下:
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
