Donot team 组织(APT-C-35)移动端攻击活动分析 – 作者:腾讯电脑管家-安全小百科

Donot team 组织(APT-C-35)移动端攻击活动分析 – 作者:腾讯电脑管家

一、背景

Donot Team APT组织(APT-C-35)是一个疑似具有南亚某国政府背景的APT组织，该组织持续针对巴基斯坦国家进行APT攻击。该组织的攻击活动最早可追溯到2016年，擅长使用c++、python、.net、autoit等多种语言开发的恶意程序，开发的恶意程序不仅有基于yty框架windows端恶意程序，还有可以运行于安卓系统的移动端恶意程序。

近年来，我们捕获了该组织大量的移动端恶意app，这些app有伪装成系统工具的，也有伪装成应用市场、游戏、新闻等各种类型的app。这些app功能和内容涵盖各个方面，大部分app安装后都有其正常的功能，但他们有一个共同的特点，运行后会在后台执行相同的木马功能——对手机进行远程控制，窃取目标手机的机密信息。

1）伪装成系统工具、应用商店、游戏等各种APP

2）伪装成游戏类、新闻类的恶意APP一般能够正常使用，并在后台偷偷执行木马行为，而伪装成系统应用类app运行后则删除图标，完全隐匿到后台执行。

二、代码分析：

2）apk代码结构，早期的版本并未做任何混淆处理，而新版本对代码做了混淆处理

3）连接C2，早期的版本并未对C2信息做任何处理，而新的版本对C2做了加密，加密方式为base64+XOR key

4）C2解密函数

5）解密后的C2：mimestyle.xyz:48765

6）接受C2返回的指令，根据指令获取信息上传，支持的指令和功能如下：

指令	功能
Call	获取通话记录存为CallLogs.txt上传
CT	获取通讯录存为contacts.txt上传
SMS	获取短信存为sms.txt上传
Key	获取键盘输入信息存为keys.txt上传
Tree	获取SD卡文件列表存为Tree.txt上传
AC	获取账户信息存为accounts.txt
Net	获取网络信息存为netinfo.txt上传
CR	获取通话录音存为Clist.txt上传
LR	录音
FS	文件上传
GP	获取GPS信息存为GP.txt上传
PK	获取应用列表存为pkinfo.txt上传
BW	获取浏览器信息存为bw.txt上传
CE	获取日历信息存为ce.txt上传
Wapp	获取whatsapp信息存为WappHolder.txt上传

7）恶意指令及生成的中间文件

8）获取通话记录相关代码

9）获取短信相关代码

10）获取账户信息相关代码

11）获取录音信息相关代码

12）获取应用安装信息相关代码

13）录音设置相关代码

14）获取日历行程相关代码

15）与WhatsApp相关的代码

三、关联分析：

1）与早期donot team RAT命令分发相关代码，控制指令完全一样

2）最终各个指令生成的文件也是一样的，可以确认为同一RAT。

四、安全建议

专业APT组织针对移动端的攻击日益多见，腾讯安全团队提醒外贸企业、重点行业的工作人员，在使用智能设备时，须谨慎小心，可参考以下建议：

1.在智能手机上使用安全软件；

2.建议只通过可靠的应用市场下载手机应用，避免通过分享的链接下载安装。

3.及时升级手机操作系统，降低攻击者利用手机系统漏洞攻击的可能性。

4.推荐企业用户部署腾讯安全T-Sec高级威胁检测系统（腾讯御界）对黑客攻击行为进行检测。腾讯安全T-Sec高级威胁检测系统，是基于腾讯安全能力、依托腾讯在云和端的海量数据，研发出的独特威胁情报和恶意检测模型系统，该系统可及时有效检测黑客对企业网络的各种入侵渗透攻击风险。参考链接：https://cloud.tencent.com/product/nta

五、IOC：

C2：

mimestyle.xyz

whynotworkonit.top

rythemsjoy.club

genwar.drivethrough.top

mangasiso.top

spectronet.pw

jasper.drivethrough.top

param.drivethrough.top

37.120.140.211

206.189.42.61