Bitdefender发现海莲花APT组织使用合法证书传播高级Android威胁 – 作者:比特梵德中国

自2014年以来，一群被称为海莲花OceanLotus或PhantomLance的APT组织就不断通过官方和第三方市场传播高级Android威胁，闻名于世。他们试图远程控制受感染的设备，窃取机密数据，安装应用程序并启动任意代码。

Bitdefender安全研究人员最近记录了该组织及其活动，但Bitdefender的调查发现了35个新的恶意样本，并证明 该活动可能使用了合法且可能被盗的数字证书 来对某些样本进行签名。

APT小组的作案手法是先上传干净版本，然后添加恶意软件，然后通过Google Play和第三方市场传播带病毒的Android应用。

虽然海莲花APT组织主要针对非洲和亚洲的受害者，但Bitdefender遥测技术还可以在日本，韩国，越南，德国和印度等国家进行扫描。 Bitdefender 检测到此威胁为 Android.Trojan.OceanLotus。

寻找零号威胁

在Bitdefender信息库（APK MD5：315f8e3da94920248676b095786e26ad）中找到的，与OceanLotus APT组关联的最古老的样本似乎已于2014年4月首次登陆Google Play 。恶意活动可追溯到已知最早的Google Play样本，在2014年12月。

根据内部zip文件的时间戳，该样本构建于 2014.04.05，几天后就进入了我们的收藏集。

一个有趣的发现是，该样本已使用VL Corporation的证书进行了签名。 该证书于2013年7月生成，并且到2014年为止，除OceanLotus Malware之外，Google Play上已有100多个不同的应用程序在使用它。这表明网络犯罪集团可能已使用有效证书将受感染的应用程序成功地走私到Google Play中。

Certificate:

        Data:

        Version: 3 (0x2)

        Serial Number: 2002933886 (0x7762587e)

        Signature Algorithm: sha256WithRSAEncryption

       Issuer: C=VN, ST=10000, L=HN, O=VL Corporation, OU=VL Corporation, CN=VL Corporation

       Validity

            Not Before: Jul 22 18:57:09 2013 GMT

            Not After : Jul 16 18:57:09 2038 GMT

      Subject: C=VN, ST=10000, L=HN, O=VL Corporation, OU=VL Corporation, CN=VL Corporation

他的证书很可能已被APT小组泄漏和滥用。目前，在Google Play中使用此证书签名的100多个应用程序中，仍然没有该应用程序。

目标国家

在遥测方面，仅在过去的3个月中，我们就收到25篇涉及此威胁的报告，其中大部分是在美国，日本和韩国。诚然，在美国的报告可能不是真实的设备，但亚马逊托管的Android计算机被操纵来运行样本以进行安全分析。对于安全研究人员而言，执行这种类型的沙箱操作并不少见，特别是在尝试获取危害指标或研究恶意行为时。

但是，来自韩国和日本的报告确实表明，最近遇到过OceanLotus APT样本的设备至少数量有限。

追踪线索

在传播方面，尽管安全研究人员已经报告说发行是通过官方的Google Play市场和第三方市场进行的，但一些与Google Play相似的市场仍在托管这些样本。这意味着，尽管Google在及时管理其应用程序**并响应安全研究人员和供应商的输入方面做得很好，但是第三方市场（如果有的话）消除这些威胁速度很慢（如果有的话），有可能使用户无限期地暴露于恶意软件中。

仍托管这些恶意样本的第三方市场的一些示例包括：

hxxps：//apkpure.com/opengl-plugin/net.vilakeyice.openglplugin 

hxxps：//apk.support/app/net.vilakeyice.openglplugin 

hxxps：//apkplz.net/app/com.zimice.browserturbo 

hxxps：/ /apk.support/app/com.zimice.browserturbo hxxps：//androidappsapk.co/download/com.techiholding.app.babycare/ 

hxxps：//www.apkmonk.com/app/com.techiholding.app.babycare/ 

hxxps：//apkpure.com/cham-soc-be-yeu-babycare/com.techiholding.app.babycare 

hxxps：//apk.support/app-th/com.techiholding.app.babycare

虽然已经有了OceanLotus APT组的样本的完整列表，我们知道这些示例已出现在Google Play中，但我们添加了以下样本，这些样本也已在Google Play上得到确认。

有关由Bitdefender研究人员发现并归因于OceanLotus APT的其他新样本（md5）的完整列表，请检查以下内容：

规避Google Play保护

攻击者通常向Google Play提交一个干净的版本，然后随机等待一段时间，然后简单地使用恶意代码更新应用程序。网络犯罪分子似乎也使用了这种策略。

例如，应用程序net.vilakeyice.openglplugin（OpenGLPlugin）最初于 2018 年8月5 日以纯净格式上传，然后在8月21 日引入了恶意payload。

然后，将payload解密并动态加载到应用程序中。如果较旧的样本将解密密钥本地嵌入到原始的干净应用程序中，则较新的样本将不再将其存储在本地，因为它们似乎接收了解密密钥以及恶意payload。

朔源

尽管这些Android恶意软件样本的归属已成为安全行业分析的主题，但OceanLotus APT组被标记为负责任，但样本仍存在于第三方市场这一事实应引起注意。

某些时候Google Play上的某些示例目前仍在第三方市场（ 包括Amazon）上提供。在世界范围内可能无法从官方Google Play市场访问内容的地区，用户仍然有感染这种类型恶意软件的风险。

在这个关于Amazon印度的特定样本中，开发人员名称为Caleb Eisenhauer（假名），该应用程序似乎已于 2020 年2月16 日发布。与该帐户关联的电子邮件地址（[email protected]）发送至托管在GitHub（https://github.com/malcesshartspur）上的隐私政策。

可能存在类似的虚假开发者帐户，它们都在第三方市场上散布了各种样本，如果不删除，有可能在很长一段时间内感染受害者。

来源：freebuf.com 2020-05-07 12:30:11 by: 比特梵德中国