恒安嘉新-暗影实验室 | APT-SpyMax间谍软件家族追踪 – 作者:恒安嘉新

概述

坦桑尼亚大陆超级联赛足球赛季在即,该足球赛是非洲坦桑尼亚的顶级职业足球联赛。最近安全人员发现威胁行为者将攻击目标对准了正在进行的坦桑尼亚大陆超级联赛足球赛。他们分发了两个最著名足球俱乐部的Android应用安装包,分别是Simba SC和Yanga SC。经分析发现该两款恶意软件是通过SpyMax间谍软件框架打包的恶意程序。主要通过利用Simba SC和Yanga SC合法应用的图标吸引用户安装使用。且SpyMax间谍软件上半年行动活跃,疫情期间利用“新冠肺炎”热点锁定移动用户。SpyMax间谍软件框架打包的恶意软件具有强大的隐匿功能,其主要通过动态从服务器获取加载恶意代码来执行其恶意行为,一般病毒引擎无法检测到。

1.程序运行流程图

恶意程序运行主要分为两个个阶段,首先间谍软件为了掩饰自己的恶意行为安装启动后便隐藏自身图标然后从资源文件中获取安装另一款安全的应用。接着恶意程序连接服务器,根据服务器下发的命令从服务器下载不同的恶意文件,并加载执行其恶意行为。

图片[1]-恒安嘉新-暗影实验室 | APT-SpyMax间谍软件家族追踪 – 作者:恒安嘉新-安全小百科

图1-1 程序运行流程图

2.技术原理分析

2.1 仿冒合法应用图标

仿冒合法的SimbaSC和Yanga(YoungAfricans)SC应用。

图片[2]-恒安嘉新-暗影实验室 | APT-SpyMax间谍软件家族追踪 – 作者:恒安嘉新-安全小百科

图2-1仿冒合法应用图标

允许将应用程序安装到外部存储空间中去,但是如果没有指定安装位置,则由系统自行决定应用程序安装位置。

图片[3]-恒安嘉新-暗影实验室 | APT-SpyMax间谍软件家族追踪 – 作者:恒安嘉新-安全小百科

图2-2 设置安装到外部存储空间

应用安装启动后会隐藏自身图标,并从资源文件中获取安装一款具有实际功能的仿冒应用。这款应用没有恶意行为,主要用于显示广告。这样做的目的是为了防止用户发现其恶意行为。

图片[4]-恒安嘉新-暗影实验室 | APT-SpyMax间谍软件家族追踪 – 作者:恒安嘉新-安全小百科

图2-3 获取安全应用写入外部存储路径

获取文件MIME类型(它设定某种扩展名的文件用一种应用程序来打开的方式类型,当该扩展名文件被访问的时候,浏览器会自动使用指定应用程序来打开),安装应用。

图片[5]-恒安嘉新-暗影实验室 | APT-SpyMax间谍软件家族追踪 – 作者:恒安嘉新-安全小百科

图2-4 安装安全应用

该合法应用具有实际业务功能,主要用于显示一些google广告,目的是赚取广告费用。在该应用的掩饰下,用户很难发现间谍软件的恶意行为。

图片[6]-恒安嘉新-暗影实验室 | APT-SpyMax间谍软件家族追踪 – 作者:恒安嘉新-安全小百科

图2-5 合法应用界面、显示的广告

2.2 获取敏感权限

恶意程序将目标SDK设置低于23,不需要用户主动授权,就可获取所有敏感权限。

图片[7]-恒安嘉新-暗影实验室 | APT-SpyMax间谍软件家族追踪 – 作者:恒安嘉新-安全小百科

图2-6 targetSdk设置为22

敏感权限列表:

图片[8]-恒安嘉新-暗影实验室 | APT-SpyMax间谍软件家族追踪 – 作者:恒安嘉新-安全小百科

图2-7 敏感权限列表

2.3自我防护

(1)设置电源锁和wifi锁,保障应用在后台正常运行。

图片[9]-恒安嘉新-暗影实验室 | APT-SpyMax间谍软件家族追踪 – 作者:恒安嘉新-安全小百科

图2-8 设置电源锁和wifi锁

(2)设置wifi休眠策略,设置WIFI在休眠时不断开:

图片[10]-恒安嘉新-暗影实验室 | APT-SpyMax间谍软件家族追踪 – 作者:恒安嘉新-安全小百科

图2-9 设置wifi休眠策略

(3)远程控制杀死自身进程:

图片[11]-恒安嘉新-暗影实验室 | APT-SpyMax间谍软件家族追踪 – 作者:恒安嘉新-安全小百科

图2-10 杀死自身进程

更多内容请点击阅读原文

进入恒安嘉新-暗影安全实验室公众号

完整查阅

2.jpg

恒安嘉新(北京)科技股份公司是具有“云—网—边—端”整体解决方案的通信网安全领军企业,专注于网络空间安全综合治理领域,主营业务是向电信运营商、安全主管部门等政企客户提供基于互联网和通信网的网络信息安全综合解决方案及服务。

“没有网络安全就没有国家安全。”网络空间是国家**的新疆域,网络空间安全事关国家安全和国家发展,是把我国建设成为网络强国的有力保障。基于安全与业务的伴生性以及威胁的复杂性,政府、电信、金融、能源等领域对于网络空间安全综合治理产品均存在广泛而迫切的需求。为此,公司自主研发了具有网络空间安全监测预警、威胁研判、追踪溯源、态势感知和应急处置等能力的产品,可用于构建支撑全天候全方位的网络空间安全态势感知和防御体系。

公司是国家高新技术企业,以“支持国家、服务社会、助力行业、合作共赢”为经营理念,矢志成为网络空间安全基础能力的搭建者和网络空间安全生态的引领者。凭借多年的技术和经验积累、卓越的产品和服务质量以及良好的品牌形象和业界口碑,公司产品广泛布局在除港澳台外全国 31 个省、自治区和直辖市,为安全主管部门和电信运营商监测核心网、骨干网、城域网 3,448 个核心网络节点。基于采集点的广泛布局和安全技术的长期积累,公司的网络安全数据采集和分析效率位居行业前列,公司为电信运营商和安全主管部门提供的网络安全数据实时分析能力超过 500Tbps。

公司连续五届入选 CNCERT“网络安全应急服务支撑单位(国家级)”,并为“新中国成立70年系列活动”、“十九大”、“两会”、G20 杭州峰会、世界互联网大会、“一带一路”峰会、上合峰会、金砖国家领导人峰会、中国国际进口博览会等提供国家级网络安全保障服务;同时,根据 CNCERT 于 2019 年7月发布的结果,公司是2019年度全国31个省级分中心联合推荐的国家级支撑单位。此外,公司也是“国家网络与信息安全信息通报机制技术支持单位”、“工业信息安全应急服务支撑单位”,参与建设了“计算机病毒防御技术国家工程实验室研究室”和“计算机病毒防治技术国家工程实验室”,在网络空间安全领域拥有突出的行业公信力和品牌影响力。

公司高度重视自主研发能力的培育和建设,并围绕互联网和通信网一体化的海量数据实时处理技术、具有深度学习能力的智能安全引擎技术 、“云—网—边—端”综合管控技术等三大核心技术,构建了自主可控的知识产权体系和产品体系。截至 2020 年2月,公司共申请发明专利 73 项,其中 12 项已取得专利权(含1项美国专利);拥有计算机软件著作权 103 项和作品著作权 2 项;参与制定 159 项国家、行业、团体标准,其中 23 项行业标准已完成发布,累计 67 项进入立项或送审流程。

来源:freebuf.com 2020-08-11 17:15:54 by: 恒安嘉新

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论