2022治疗白癜风 的药哪里有卖 https://yyk.familydoctor.com.cn/2831/newslist_8_1.html背景介绍
年月15日奇安信红雨滴高级威胁分析团队已经对APT-C-做了详细的揭露,APT-C-组织的目标主要集中在中东地区,尤其活跃在巴勒斯坦的领土上。年5月起至今,双尾蝎组织(APT-C-)对巴勒斯坦教育机构、*事机构等重要领域展开了有组织、有计划、有针对性的长时间不间断攻击。攻击平台主要包括Windows与Android。
Android恶意程序主要伪装成两类应用程序:一类为聊天工具,另一类为软件升级工具。其传播方式主要有两种: 种方法是通过短信,其中包含指向Google云端硬盘的网址或托管APK的C&C域名,第二种方法是将他们的应用程序上传到第三方应用商店。其中Android版本当时已经更新了两个版本,类名对应的功能如下图。
近期CheckPoint发现了APT-C-使用了带有*治主题的诱饵PDF文件,使用了新的Cfrowtisice[.]club。
经过我们分析,新样本在原有的基础上功能进行了增加,代码结构、控制指令等都进行了巨大的改变,程序运行后会显示带有*治主题的诱饵PDF文件,而随着巴以冲突的持续升温,APT-C-再次更新其目的也显而易见。
下图为样本运行以后带有*治主题的PDF诱饵文件:
样本分析
APT-C-新样本通过仿冒Acrobat更新,并通过显示含有*治主题的诱饵PDF文件,诱骗用户安装使用;恶意软件主要目的为窃取用户手机信息,并对用户手机进行远程控制,新程序继承了APT-C-下发控制指令的模式,实现了两种向应用推送消息的方式,FCM和SMS通信,从而可以更加稳定的接收到控制指令;程序运行以后会隐藏自身图标,从而保护自身不被卸载;程序会通过两种方式下发控制指令,两种方式下发的指令其功能类似,例如:开始对用户手机进行录音,上传用户手机短信,上传用户手机通讯录,上传用户手机文件等操作。
恶意程序运行界面
程序运行后隐藏自身图标
APT-C-实现了两种向应用推送消息的方式,FCM和SMS通信,从而可以更加稳定的接收到控制指令。
通过SMS的控制指令下发
SMS控制指令:
控制指令
指令含义
控制指令
指令含义
#.=
开启录音,并上传录音
启用更新通知
#,,
停止录音
禁用更新通知
启动应用程序
启用新的URL
关闭应用程序
上传手机文件
EnableMobileData
获取控制指令
4
DisableMobileData
获取录制的内容
5
卸载应用程序
未启用功能
6
删除录音文件
51
获取短信通信记录
7
开启WiFi
8
重启录音功能
9
取消更新
0
获取用户手机已安装程序信息
1
禁用 次更新
启用 次更新
获取所有短信内容
4
获取手机通讯录
通过短信下发指令:
指令:#.=
指令:#,,
指令:
指令:
指令:
指令:4
指令:5
指令:6
指令:7
指令:8
指令:9
指令:0
指令:1
指令:
指令:
指令:4
指令:
指令:
指令:
指令:
指令:
指令:
指令:
指令:51
重要代码截图
获取用户短信:
获取用户手机通讯录:
上传URL:
转载请注明:http://www.balesitana.com/btjj/9751.html
当前位置: 巴勒斯坦 > 巴勒斯坦经济 > 双尾蝎APTC23团伙利用带有*
