2019年移动安全总结.pdf_报告吧baogao8.com-

资源描述

2019 年移动安全总结序言随着 2019 年的逝去，二十一世纪第二个十年也已随之结束。回顾过去的十年，我们的生活随着科技的进步发生了翻天覆地的变化，这其中，手机就是其中一个最直观的表现。过去的十年，我们的手机在不断的更新换代。从“品牌” 来看，我们的手机从摩托罗拉、诺基亚、西门子、黑莓等，变成了华为、苹果、小米、 OPPO、 vivo、三星等。从手机“操作系统”来看，我们早已告别了塞班、黑莓，如今已经进入了 Android、 iOS 与 Windows Phone，从市场占比上看，如今俨然已是 Android 跟 iOS 的双足鼎立。然而伴随着手机的发展，手机病毒也由开始的“短信轰炸” 发展到现在的多种多样，甚至已经变为了诈骗犯罪、窃取情报、政治攻击的武器。诚然，我们的科学技术是在不断进步的，但阳光照射下总会有阴暗的地方。每个时间段我们总要去面对新的问题，每个时间段我们总要去面对新的移动安全问题。回顾 2019 年，移动安全发生了太多的事，数据泄露、病毒木马、安全漏洞、 APT 攻击等。无论是关系到我们大众的个人隐私信息，还是关系到国家的安全建设，都让我们认识到了移动安全的重要性。本报告为奇安信移动安全团队，基于 2019 年国内外发生的移动安全事件、各个安全厂商披露的移动安全威胁活动以及我们内部产生的威胁情报数据，对 2019 年移动安全事件的总结。主要观点暴利黑产决定病毒木马移动端黑产，总是伴随着移动端技术而发展，目前移动端黑产种类繁多且产业链完善。暴利的驱使，使得黑产从业人员不断的开发出新的获利方式，目前移动黑产种类有：暗扣话费、广告流量变现、手机应用分发、木马刷量、勒索软件、控制肉鸡挖矿等。这样我们就可以找到目前市面上的移动病毒产生根源，银行木马、色情软件、拦截马、流氓软件等都是黑产团伙为了获利而生产的工具。 2019 年黑产活动依然猖獗，在即将踏入物联网的时代，移动安全会面临更加严峻的挑战。政治目的决定 APT 攻击 2019 年奇安信威胁情报中心、奇安信移动安全团队捕获并披露多起移动 APT 攻击，其中在中东等有武装冲突，政治矛盾比较复杂的地区 APT 攻击比较多。我国也一直被一些 APT 组织攻击，且被攻击的目标广泛，涵盖部门众多。 2019 年各国面临的 APT 攻击依然频繁，在国际形势敏感的当下，掌握先机就代表着掌握了主动权，未来的 APT 战场上，移动 APT 值得我们重视。移动社区安全需要加强相比于 iOS， Android 的社区安全依然不容乐观。 Google Play 作为全球最大的 Android 软件平台，根据我们 2019 年的研究报告及公开资料， Google Play 已经成为了重灾区。国内情况也大同小异，好在目前工信部已经对各个平台、众多软件做出了整改的要求。当然维护 Android 社区的健康发展，还需要我们共同的努力。个人安全意识需要提高广大用户，应该提高自己的安全意识。移动端 APP 已经覆盖了我们的工作、生活，未来我们会更加的依赖，作为用户我们需要对 APP 有一定的甄别能力。 2019 年依然有大量的用户因一些钓鱼木马、色情软件等上当受骗，希望在未来更加广泛的移动产品里，用户可以提高安全意识。第一章 2019 年各地移动安全事件总结奇安信移动安全团队基于内部数据及相关公开资料，对 2019 年全球影响较大的移动安全事件进行了汇总，以便更好的展现 2019 年移动安全对全球的影响。 Google Play 为全球最大的移动应用平台，也是国外大多用户下载应用的首选平台。虽然 Google Play 一直致力于打击恶意 APP，但根据我们对 2019 年的数据总结， Google Play 也是恶意 APP 传播的主要途径。恶意软件团伙及个人，在利益的驱使下，通过各种方法混进 Google Play 进行传播恶意软件，对用户造成了巨大的经济损失。下面我们通过图文的形式，展示 2019 年影响较大的国际移动安全事件。 2019 年移动恶意软件影响范围：我们将 2019 年影响较大的移动安全事件，根据影响区域分为了两类， “无差别地区攻击 ”与“ 针对特定地区攻击 ”。无差别地区攻击的恶意事件恶意软件想大规模的传播， Google Play 平台无疑是最好的选择，但能否绕过 Google Play 的安全检测，并成功在 Google Play 上架并不容易。所以通过对 2019 年的 Google Play 主要安全事件统计，我们发现广告流氓软件占据了很大的比例，少量的间谍软件、银行木马也会出现，此外还有挂着正规厂商的越界软件。推送广告的流氓软件互联网盛行的今天，广告的收益非常大，这也就促使了很多团伙与个人通过各种手段推送广告获利。国际上对于流氓广告软件，其打击力度非常大，各大安全厂商及 Google Play 对于 APP 的审核也相当严格，然而面对海量的 APP 软件，总会有漏网之鱼。下面我们列举 2019 年 Google Play 上发现的影响较大的推送广告的流氓软件事件。 Goole Play 上发现的推送广告的恶意软件，其都是通过仿冒当下热度较高的 APP，以及用户用的较多的相机软件、游戏软件等进行诱骗用户下载；其运行方式也基本相同，隐藏自身图标后全屏推送广告。推送广告的流氓软件，对于用户来说是令人讨厌的，但对于广告公司来说是巨大的利润损失。移动端的广告欺诈问题同样严重，广告欺诈主要针对广告厂商，通过广告堆叠、模拟点击、设备 ID 重置欺诈、捆绑 ID 欺诈、 SDK 欺诈等。目前已经形成了完整的黑色产业链，而每年通过欺诈的方式，黑产团伙可以获得将近 1 亿美元的收入。预计到 2020 年移动广告将占全球广告支出的 30.5%，总额将达到 1870 亿美元，是桌面广告支出 880 亿美元的两倍多，仅落后电视广告 1920 亿美元 50 亿美元，以目前移动互联网的发展速度，超过电视广告也将很快到来。黑产团伙及个人在巨额利益的诱惑下，未来对移动互联网产业的冲击是巨大的。面对越来越复杂的技术，对于安全厂商来说，如何应对这一问题将至关重要。银行木马软件相比于广告软件，银行木马危害程度要高很多。这类木马其针对性强，在网络犯罪中非常流行，近年来各类恶意木马层出不穷，其从根本上危害到了用户的个人信息、财产安全。 2019 年奇安信移动安全团队也时刻关注着这类软件，且对于流行银行木马进行了持续跟踪与分析。 2019 年活跃的主要银行木马：银行木马名称影响简介备注 Gustuff Gustuff 木马可以仿冒 100 多种银行应用程序和 32 种加密货尚未在 Google Play 出现。币，其目标包括美国银行、苏格兰银行、摩根大通、富国银行等。该木马还可以仿冒 PayPal， Western Union， eBay， Walmart， Skype， WhatsApp， Gett Taxi， Revolut 等。尚未在国内出现。 Anubis Anubis 木马功能强大，自身结合了钓鱼、远控、勒索木马的功能。已经影响全球 100 多个国家， 300 多家金融机构。已出现在 Google Play。尚未在国内出现，国内国际版应用被仿冒。 Cerberus 地狱犬为 2019 年新发现的 Android 银行木马，其目前正在地下论坛出租。目前为止仅适用七个法国银行、七个美国银行、一个日本银行、 15 个非银行应用程序。尚未在 Google Play 出现。尚未在国内出现。 Red Alert Red Alert 最早出现在 2017 年，但 2019 年依然活跃。其针对 120 家银行和社交网络应用。针对国家多为欧美，日本、印度也有发现。尚未在 Google Play 出现。尚未在国内出现。 Exobot Exobot 主要针对移动支付应用，且对用户较多的应用下手，目前其主要针对 PayPal 及特定地区的银行、金融应用。尚未在 Google Play 出现。尚未在国内出现。其源码已泄露。 2019 年活跃的主要银行木马，除了仿冒银行图标外，仿冒最多的图标： Android 银行木马尤其以 Anubis 最臭名昭著， Anubis 功能异常强大，自身结合了钓鱼、远控、勒索木马等功能，其完全可以作为间谍软件。而且 Anubis 影响范围很大，可以仿冒全球 378 个银行及金融机构，目前主要活跃在欧美国家，国内暂时没有发现，奇安信移动安全团队自 Anubis 爆发以来，一直对其进行追踪，我们通过数据平台监测到 Anubis 仿冒国际版 “抖音”与国际版“ PUBG”，并予以披露。 Anubis 仿冒图标： 2019 年 Anubis 活动主要时间线：值得注意的是， 2019 年 Anubis 的作者， maza-in 被捕，其竟然是前军事人员， maza-in 可能将会面临 5 年的牢狱之灾。但由于 Anubis 的源码早已公开，所以 Anubis 的变种以及仿冒 Anubis 的恶意软件在未来还会给用户财产带来威胁。 2019 年 Cerberusd 的出现并通过其强大的功能，迅速被列入了顶级 Android 木马威胁的行列。更为有趣的是， Cerberus 的作者专门开通了推特账号，在其推特下发布该恶意软件的促销广告，并尝试与其他感兴趣的人沟通，同时发布安全厂商披露 Cerberusd 的文章，以此进行打趣。间谍窃密软件窃密软件以获取用户个人信息为目的，用户个人信息的贩卖同样也是黑产的一部分。相比于银行木马，窃密软件获取的信息更多，在一定程度上给用户造成损失的不止钱财。当攻击者掌握了足够多的用户信息，衍生的犯罪行为也会更多，用户潜在的威胁会更大。但是在数据爆炸的当下，有些数据泄露无法避免，我们只有将危害降低到最低。下面我们盘点下 2019 年重大的移动间谍窃密事件。窃密方式事件简介备注通过剪贴板窃密 Google Play 上首次发现了利用剪辑器窃取加密货币的恶意软件，该恶意软件冒充为 MetaMask 合法服务，恶意软件的主要目的是窃取受害者的凭据和私钥，以控制受害者的以太坊资金。已出现在 Google Play。 SMS 网络钓鱼该攻击依赖于无线（ OTA）设置的过程，运营商通常使用该过程将特定于网络的设置部署到加入其网络的新电话上。但是调查后发现，任何人都可以发送 OTA 设置消息。影响包括三星、华为、 LG、索尼等手机。目前已修复。仿冒正常 APP Google Play 上发现一款窃密软件命名为 Joker，已发现有问题应用 24 款，影响国家达到 37 个，其中包括中国。已出现在 Google Play。国内受影响。仿冒正常 APP Google Play 上再次发现基于 Triout Android 间谍软件框架的 APP，其下载量达到了 5000 万，评论达到了 100 万。韩国、德国影响较为严重。已出现在 Google Play。嵌入 SDK 据 Check Point 报道，国内某公司在应用中嵌入 SWAnalytics SDK，用于收集用户数据，受影响应用多达 12 个。国内受影响。监控软件 Google Play 上检测到 8 个应用，可用于监控个人的软件，该软件主要用于监控员工、家庭成员。已累计下载 14 万次。已出现在 Google Play。仿冒正常 APP 间谍软件 Google Plasy 上发现基于 AhMyth，针对音乐发烧友的间谍软件。该恶意软件用于窃取用户个人信息，应用启动后多以英语、波斯语显示。已出现在 Google Play，其它应用商城也已出现。仿冒为聊天软件窃密名为 CallerSpy 的聊天应用，本身并无聊天功能，目前应该处于测试阶段。启动时， CallerSpy 启动与通过 C C 服务器的连接 Socket.IO 监测即将到来的命令。然后，它利用 Evernote Android- Job 开始调度作业以窃取信息。目前无受害用户 StrandHogg 漏洞 StrandHog 漏洞可使恶意软件伪装成流行的应用程序，并要求各种权限，使黑客可以监听用户、拍摄照片、发送短信等。该漏洞影响包括 Android 10 的设备，直接导致了前 500 名最受欢迎的的应用面临被仿冒风险。 Android 用户可能面临风险。目前窃密类恶意软件多为通过仿冒正规应用程序诱骗用户安装下载，而且其方法技术也在不断的更新，剪贴板窃密、 SMS 网络钓鱼、结合开源框架等恶意软件，未来随着技术的发展，恶意软件窃密的方法可能会更多。通过对 2019 年窃密软件的总结，我们发现通过 Google Play 进行传播仍然是恶意作者的首选传播方式。然而事实也确实证实了， Google Play 的检测确实存在着盲区。这类软件一旦在 Google Play 上架，影响范围是巨大的，包括中国用户也受到了波及。互联网的开放利弊很明显，当 Google Play 无法完全过滤恶意软件的时候，当国内用户使用高科技上网的时候，那时候一部分人将直面这类窃密软件，带来的危害可能不止是个人的信息泄露。包括影响国内用户的 Joker 窃密软件影响范围： iOS 漏洞相比于 Android，人们一直觉得 iOS 很安全。诚然 iOS 拥有比 Android 更安全的生态圈，有安全性更可靠的保障，但也是相对而言的，当前 iOS 并没有我们想象中的那么安全。 iOS 的安全是建立在苹果公司闭源的操作系统上的，其拥有独立的生态。但近年来一直有黑客团伙利用丰富的漏洞进行攻击，包括 APT 攻击。研究团队事件简介影响谷歌 Project Zero 安全研究团队一些网站集结了五个漏洞利用链将安全漏洞链接起来的工具，供黑客层层突破 iOS 数字防护。这些少见且错综复杂的代码链利用了总共 14 个安全漏洞，目标范围涵盖从浏览器 “沙箱 ” 隔离机制到操作系统内核的方方面面，最终目的是获取手机完全控制权。一旦安装上，该间谍软件可以监视实时位置数据，或者抓取照片、联系人，乃至从 iOS Keychain 中抽取密码和其他敏感信息。 iOS10 到 iOS 12 AdaptiveMobile Security SIM 卡超级漏洞， iPhone， Android 都会收到影响。该漏洞已经存在了两年之久，黑客可以使用该漏洞无声无息的入侵用户手机。 iPhone 、 Android 荷兰黑客通过“查找我得 Iphone”应用中的漏洞，入侵数百个 icloud 账户，窃取用户隐私。 iPhone 苹果公司修复了“ AirDos”漏洞，该漏洞可以利用 AirDrop 共享弹出通知无限地向附近的所有 iPhone 和 iPad 发送垃圾邮件。 iPhone iPad iPhone 的 BootROM 漏洞被称为 “ checkm8” ，这是一个无法修复的漏洞，影响了数亿部 iPhone，攻击者可以通过不可阻挡的越狱黑客在系统级别访问手机。很快出现了一种名为 checkra1n 的漏洞，该漏洞使用户可以绕过 DRM 限制来运行未经授权和自定义的软件。 iPhone 苹果的漏洞，仿佛在 2019 年都一下子冒了出来，包括历时数年的一次水坑攻击中，总共出现的 14 个 iphone 漏洞。这些导致 iOS 的安全问题在今年被无限放大，为此苹果在 12 月正式向公众开放了其私人漏洞赏金计划，同时将最高报酬提到了 100 万美元。对特定地区攻击的恶意事件全球共有 233 个国家和地区，每个国家跟地区使用的语言、生活习惯等都不相同，包括国家与地区之间可能由于种种原因，互有矛盾等。这也就造成了移动端恶意软件的攻击具有地域性。下面我们盘点 2019 年针对各个地区，比较具有代表性的恶意事件。本次列举 2019 年重大恶意事件影响地区：针对韩国的恶意软件首先从我们的近邻韩国开始说起，根据我们内部的数据， 2019 年韩国遭遇的恶意攻击事件众多，最多的为，因黑产而引起的银行木马，这类软件在韩国异常猖獗，且已经持续了多年。 2019 年我们发现了针对韩国的几类银行木马，对其中的一些也进行过分析披露，我们发现该类木马多为国人编写，后台服务器众多，仿冒的软件涵盖了韩国大部分金融软件。 KBuster：通过仿冒韩国多款银行 APP 的木马软件，在我们披露时已发现 55 种， 118 个在野样本，使用了多达 300 个服务器用于存放用户信息。主要伪造的图标：样本执行流程图： Google Play 上发现韩国公交车应用 Bus App 系列软件，被黑客利用下发虚假插件，攻击特定目标。应用信息：感染流程图：针对巴基斯坦的恶意软件由于地区政治的原因，印巴之间一直有冲突，然而在 APT 攻击之外， 2019 年我们发现，有监控软件对巴基斯坦地区实施长时间的监控活动。我们将此次活动命名为：克什米尔冲突之针对巴基斯坦的 Chenab（奇纳布河）监控活动。远控指令列表：针对日本的恶意软件 FunkyBot：针对日本的新型 Android 恶意软件家族，该类恶意软件会模拟为一家物流公司诱骗用户使用，并窃取用户手机信息上传至恶意服务器。 FunkyBot 特殊的地方在于，类似 Anubis 曾经使用虚假的 Telegram 和 Twitter 帐户一样， FunkyBot 也会使用社交媒体账号获取其 C2，它下载了没有照片的 Instagram 帐户的网页。然后，提取该帐户的传记字段，并使用 Base64 对其进行解码。而且根据溯源发现，该软件目前还处于开发测试阶段。针对波兰、捷克的恶意软件 2019 年初，启明星辰 ADLab 发现了一款全新的 Android 银行钓鱼木马，命名为 BankThief。该类木马主要针对波兰、捷克等数十家银行客户端。目标银行 logo：攻击流程图：针对意大利的恶意软件 2019 年 3 月 29 日， Security Without Borders 发现了一个新的 Android 间谍软件，他们将之命名为“ Exodus”。 Security Without Borders 在 Google Play 中收集了 2016 年到 2019 年初的大量样本，他们发现 Exodus 是由意大利一家名为 eSurv 从事视频监控的公司开发的，其在 Google Play 中伪装为移动运行商的应用程序，页面与诱饵都是意大利语，通过 Google Play 公开的数据显示，最多的一个下载量达到了 350 个，目前这些软件都已从 Google Play 中删除。 Google Play 中下载页面：针对西班牙的恶意软件西班牙一直比较受银行木马所青睐，在 2019 年我们捕获了多起针对西班牙的银行木马事件。其中最多得为 Anubis 与 Gnip。而 Gnip 为经过 Anubis 变种而来的。 2019 年我们检测到， Anubis 通过仿冒为西班牙邮政运营商 Correos 的恶意软件。 Anubis 攻击西班牙载体：打开推特获取备份 C2：仿冒银行登录页面： 2019 年银行木马 Ginp 针对西班牙与英国的攻击活动，其模仿 Adobe Flash Player，滥用辅助功能服务，将其自身设置为默认 SMS 应用程序，从 C C 服务器获取网络钓鱼注入。 Ginp 为 Anubis 变种， Ginp 与 Anubis 代码对比：针对澳大利亚的恶意软件 2019 年银行木马在国外盛行，澳大利亚也遭到了 Gustuff 的袭击。 Gustuff 多次将目标瞄准澳大利亚，它可以仿冒澳大利亚市场上 100 多种金融程序及 32 种加密货币程序，除了可以窃取金融凭证外，还可以自动执行交易。 Gustuff 一直在不断更新， 2019 年早些时候被披露以后，其不断的在更新功能、 C2 与传播方式。 Gustuff 在开始的时候通过仿冒银行木马 Marcher，在一次次更新后，其代码结构、方法上已完全脱离了 Marcher。 Group-IB 统计的六月份与十月份域名点击情况：针对奥地利的恶意软件 2019 年我们发现了一款仿冒奥地利“ Willhaben”软件的钓鱼木马，其会获取用户信息，并通过短信的方式向用户发送退款链接，从而诱骗用户钱财。预付款钓鱼页面：针对埃及的恶意软件 “尼罗河之眼” ， 2019 年 3 月 Check Point 发现了针对埃及记者与人权活动者的攻击。其攻击方式新颖，通过 “ OAuth 网络钓鱼 ”的技术。通过滥用于 Gmail 或 Outlook 等流行邮件服务的第三方应用程序，攻击者操纵了受害者，使他们可以完全访问他们的电子邮件。入侵流程：攻击的 APK：针对德国的恶意软件德国联邦信息安全办公室（ BSI）在 2019 年 6 月 6 日发布了安全警告，该国至少有四款只能手机型号的固件种嵌入了后门恶意软件。受影响的型号有 Doogee BL7000， M-Horse Pure 1， Keecoo P11 和 VKworld Mix Plus。嵌入的恶意软件为 Andr / Xgen2-CY 。该恶意软件收集的信息如下：针对巴西的恶意软件 2019 年我们在巴西发现了仿冒 WannaCry 勒索软件，该恶意软件在 UI 上借鉴了 WannaCry，功能上除了可以获取用户信息以外，还可以执行 DDOS 攻击，网络钓鱼等。与国内早期发现的仿冒 WannaCry 勒索软件的 “王者荣耀辅助 ”已完全不同。含有西班牙语的勒索界面：同样在巴西，发现了“ BRATA”远控恶意家族，其专门针对巴西，从一月开始已经通过 Google Play 在巴西广泛传播，目前已在 Google Play 上发现了多种不同的变体。远控指令及含义：针对伊朗的恶意软件伊朗由于各种原因，依然是 2019 年世界的焦点。 2019 我们发现有相关间谍软件，仿冒为 “ !”(居鲁士大帝！ )针对伊朗的攻击。此类样本极具有诱惑性，通过普及伊朗一些历史事件，诱骗用户安装使用，目的为窃取伊朗用户个人信息。指令列表：其它安全事件 2019 年，除了以上具有代表性的针对地区攻击外，还有更多的地区受到其它移动安全事件的影响，其中以“ TikTok”、 “WhatsApp”、“ ToTok”最受关注。 TikTok：海外版抖音。美国民主党议员 Schumer 提出抖音海外版 TikTok 对用户数据处理，会影响美国国家安全，之后美国陆军、海军相继对短视频 TikTok 展开安全评估，并在军队中禁止使用 TikTok。而在年初的时候，该议员还呼吁联邦调查局（ FBI）和联邦贸易委员（ FTC）开展对俄罗斯人脸编辑照片应用程序 FaceApp 进行国家安全和隐私调查。其实无论 TikTok 是否真的收集了敏感数据，从美国的做法中我们可以看出，在面对国家安全的时候谨慎的态度让我们看到了，其对移动安全的重视，对数据安全的重视。 WhatsApp：堪称海外版微信。 WhatsApp 指责以色列公司 NSO 攻击其软件，从而对中东等地的持有不同政见的个人、记者、维权人士进行监控，获取重要数据信息。 WhatsApp 表示，其经过了半年的调查，发现黑客利用其向约 1400 部手机发动攻击，窃取宝贵的信息。 ToTok：阿联酋用户最多的通讯应用。阿联酋，是一个禁用诸如 WhatsApp 和 Skype 之类的聊天 APP 的国家，因此 ToTok 的出现引领了一股下载风潮。但据熟悉机密情报评估和对该应用程序及其开发者进行调查的美国官员说， ToTok 实际上是一种间谍工具。阿拉伯联合酋长国政府使用它来尝试跟踪将其安装在手机上的人们的每一次对话，动向，关系，约会，声音和图像。智能手机已经发展了十多年，移动威胁产生的时间与其差不多，智能手机目前已经嵌入到了我们的生活，从最初的供给面到现在的多平台攻击，包括平板电脑、手机、电视、医疗设备等，未来还有物联网，威胁与日俱增。同样的智能手机的发展，为一些黑客组织、个人提供了完美的平台。在未来针对地区的攻击会越多，我们面对的威胁也会更多。第二章 2019 年各地移动 APT 事件总结 2019 年世界依旧不太平，在表面平静的背后是暗流涌动。大规模军事冲突不会发生的当下，因利益，政治，宗教等问题依然会有局部战争。其中尤其以中东问题最为突出，更多关于 APT 组织的相关信息，请关注奇安信威胁情报中心，红雨滴团队 GitHub 的 APT_Digital_Weapon 资料库：下面我们盘点 2019 年移动端 APT 攻击事件。 KONNI APT 组织 KONNI 团队可能来源东亚地区最早活动时间 2014 最早披露时间 2017 最早披露厂商 Talos APT 组织介绍 KONNI 是由 Talos 命名的恶意软件，其相关活动最早可以追溯到 2014 年。相关的受害者是联合国，联合国儿童基金会和与朝鲜有联系的大使馆等官方组织的成员。事件概括： 2019 年 8 月，韩国安全厂商 ESTsecurity 披露了 KONNI APT 组织使用 Android 端木马的新攻击活动，并称其与 APT 组织 Kimsuky 存在关联。 11 月奇安信威胁情报中心红雨滴团队在日常的高级威胁监测过程中，发现多起疑似针对韩国地区 Android 用户的恶意代码攻击活动。攻击者通过将恶意安卓应用伪装成韩国常用移动应用，从而诱导受害者安装使用。经关联分析，我们发现此次攻击活动无论从攻击手法还是木马框架都与 ESTsecurity 披露的 KONNI Android 木马一致。该软件主要通过短信投递的方式，主要功能为：窃取上传用户手机的一些机密信息，包括通信录、短信记录、 APP 安装记录、 sd 卡目录以及在用户手机上采集到的录音信息等。相关样本信息：指令列表：攻击流程： Group 123（ APT37） APT 组织 Group 123（ APT37）团队可能来源东亚地区最早活动时间 2012 最早披露时间 2016 最早披露厂商 Kaspersky APT 组织介绍 APT37 是东亚地区网络间谍组织，至少从 2012 年开始运营。其目标主要位于韩国， 2017 年 APT37 的目标范围扩大到了朝鲜半岛以外的地区，包括日本，越南，俄罗斯，中国，印度和中东的一些国家。受影响的行业范围更广，包括化学，电子，制造业，航空航天，汽车和医疗保健实体。事件概括： 2019 年奇安信威胁情报中心捕获到一批 Kevdroid 样本，该批新变种通过仿冒主流 APP 应用，对目标进行攻击。其中有通过仿冒“微信国际版”的攻击样本。 Kevdroid 被 EST 团队在 2019 年 3 月首次在韩国捕获并披露，随后 Talos 和 PAN 也进行了跟进分析， 2018 年 11 月 360-CERT 与盘古实验室披露过一款伪装成网易邮箱大师的恶意 APK。此次我们捕获的 Kevdroid 样本，通过其仿冒的 APP 及配置文件所适配的语言，我们发现 Kevdroid 针对的地区众多，除了英语使用国家外，明显的为中国（包括中国台湾与港澳地区）、韩国、日本、俄罗斯、印度、阿拉伯语使用国家等。样本信息：远控指令及功能：同源样本信息： Lazarus Group APT 组织 Lazarus Group 团队可能来源东亚地区最早活动时间 2009 最早披露时间 2013 最早披露厂商 Symantec APT 组织介绍 Lazarus Group 被认为是东亚地区（ Bureau 121）背景下的 APT 组织，其最早的攻击活动可以追溯到 2009 年，包括针对韩国的 DarkSeoul， 2014 年攻击 SONY 事件， 2017 年的 WannaCry 事件。美国 DoJ 于 2018 年发布了对朝鲜黑客 Park Jin Hyok 的公开指控书并认为其所属组织和上述事件有关。近几年来，该组织的活动主要针对全球金融、银行及加密货币交易相关的目标。事件概括： 2019 年 12 月 11 日据国外安全研究员披露， Lazarus APT 与犯罪软件巨头 Trickbot 存在合作关系，其针对全球的银行与网络犯罪目标。其通过 Trickbot 开发的 Anchor 攻击框架进行合作。这一举动无疑是第一个 APT 组织与犯罪团伙进行合作，通过 Lazarus Group 的以往活动，我们不难发现其与 Trickbot 的共同目标。这无疑在将来会给我们带来巨大的威胁。双尾蝎（ APT-C-23） APT 组织双尾蝎（ APT-C-23）团队可能来源西亚地区最早活动时间 2016 最早披露时间 2017 最早披露厂商奇安信 APT 组织介绍双尾蝎（ APT-C-23）组织对巴勒斯坦教育机构、军事机构实施 APT 攻击。其攻击工具包括 Windows 和 Android 平台，攻击范围主要为中东地区。并通过鱼叉或水坑等攻击方式配合社会工程学手段进行渗透，向特定目标人群进行攻击。后续国外安全厂商也将 Big Bang 攻击行动与双尾蝎联系到一起。事件概括： 2019 年奇安信威胁情报中心捕获了 APT-C-23 带有政治主题的诱饵 PDF 文件，其使用了全新的 C2，此次发现变种在原有的基础上功能进行了增加，代码结构、控制指令等都进行了巨大的改变。含有政治主题的诱饵文件：其通过 SMS、 FCM 两种方式下发指令。通过 SMS 下发指令：通过 FCM 下发指令：拍拍熊（ APT-C-37） APT 组织拍拍熊（ APT-C-37）团队可能来源西亚地区最早活动时间 2015 最早披露时间 2019 最早披露厂商 360 APT 组织介绍拍拍熊（ APT-C-37）被认为同样是西亚地区电子军背景的 APT 组织，其同时拥有针对 Windows 和 Android 的攻击平台，并且在过去主要针对极端组织 “伊斯兰国 ”实施攻击活动。该组织对巴勒斯坦教育机构、军事机构实施 APT 攻击。并通过鱼叉或水坑等攻击方式配合社会工程学手段进行渗透，向特定目标人群进行攻击。后续国外安全厂商也将 Big Bang 攻击行动与双尾蝎联系到一起。事件概括： 2019 年 3 月 25,360 烽火实验室发现从 2015 年 10 月起至今，拍拍熊组织（ APT-C-37）针对某武装组织展开了有组织、有计划、针对性的长期不间断攻击。其攻击平台为 Windows 和 Android。某武装组织由于其自身的政治、宗教等问题，使其成为了众多黑客及国家的攻击目标。 2017 年 3 月，某武装组织 Amaq 媒体频道发布了一条警告消息，该消息提醒访问者该网站已被渗透，任何访问该网站的人都会被要求下载伪装成 Flash 安装程序的病毒文件。从消息中我们确定了某武装组织是该行动的攻击目标，其载荷投递方式至少包括水坑式攻击。拍拍熊攻击相关的关键时间事件点： Donot（ APT-C-35） APT 组织 Donot（ APT-C-35）团队可能来源南亚地区最早活动时间 2016 最早披露时间 2017 最早披露厂商奇安信 APT 组织介绍 Donot“肚脑虫” （ APT-C-35）是疑似具有南亚背景的 APT 组织，主要以巴基斯坦为目标的威胁组织，其主要使用 yty 和 EHDevel 两套恶意软件框架。分析研究也发现其与 Hangover 和 Patchwork 存在联系。由奇安信威胁情报中心红雨滴团队（ RedDrip7）持续跟踪发现并命名，其主要针对巴基斯坦等南亚地区国家进行网络间谍活动。事件概括： 2019 年 Donot 异常活跃，奇安信威胁情报中心在 2019 年持续跟踪 Donot，移动端进行过多次披露。随着印巴局势的紧张， Donot 也随之活动频繁。该 APT 组织主要针对政府机构等领域进行攻击，以窃取敏感信息为主要目的。该 APT 组织除了以携带 Office 漏洞或者恶意宏的鱼叉邮件进行恶意代码的传播之外，还格外擅长利用安卓 APK 进行恶意代码传播。 2019 年 Donot 移动端的攻击活动比较活跃， 2019 年前上半年根据我们的跟踪发现，在印巴双方因克什米尔地区（ Kashmir）局势紧张的时候， Donot 诱饵无论是从图标、样本信息伪装主要针对巴基斯坦用户，尤其以“ KashmirVoice”(克什米尔之声 )表现最为突出。然而 2019 年下半年的时候，我们持续发现其对伪装为腾讯系 APP 较为执着，从开始的仅仅是包名伪装，到现在的伪装日渐趋于成熟来看， Donot 的攻击目标也在向国内偏移，国内一些流量较大的 APP 将会是首选仿冒目标。 Donot 2019 年诱饵信息列表：仿冒应用名仿冒包名仿冒图标 Device System Services com.sysdeviceservice.iapps KNS Lite com.newlite.sapp Update Service com.update.android.v2.test3 Google Update Service com.update.gooqle Google Play Service Instant Apps com.sense.android.gservicelite System Service com.tencent.mobileqq Android Database Library c

展开阅读全文