研究人员发现使用Android木马的APT攻击

安全 黑客攻防
APT攻击已经不是什么新鲜事,但是以前一直是针对Windows和Mac OS X等平台的攻击,近日,卡巴斯基实验室的研究人员发现一次APT攻击,利用Android平台木马来进行攻击。

APT攻击已经不是什么新鲜事,但是以前一直是针对Windows和Mac OS X等平台的攻击,近日,卡巴斯基实验室的研究人员发现一次APT攻击,利用Android平台木马来进行攻击。

邮件内容上面提到了在日内瓦举行的一个人权会议,当该Android包一旦被用户安装,名为Conference的应用程序会在Android桌面上显示。如下图:

研究人员发现使用Android木马的APT攻击

如果受害者执行该程序之后,会弹出“Dolkun lsa Chairman of the Executive Committee Word Uyghur Congress”文本,这里写程序的码工又开小差了,World写成了Word,该扣工资了。

接下来恶意软件会窃取手机上的联系人、通话记录、短信、地理位置和其他的一些手机数据,如OS版本、手机型号、SDK版本等,然后传送到架设在美国洛杉矶的C&C服务器。

按恶意软件的流程来走的话,数据应该传送到远端C&C服务器上去,但是奇怪的是,研究人员发现该软件没有发送这些数据。卡巴斯基研究院表示,该版本可能仅仅是一个早期原型版本,只用于调试目的。

卡巴斯基研究人员还在C&C服务器的IP地址上发现了一个域名,“DlmDocumentsExchange.com”。注册时间是2013年3月8日,注册名是“peng jia”,(贾鹏?),注册邮箱是bdoufwke123010@gmail.com。

研究人员发现使用Android木马的APT攻击

另外一个有趣的是,在DlmDocumentsExchange.com源码里发现如下代码:

研究人员发现使用Android木马的APT攻击

其中引用的Document.apk有333583字节大小,MD5值为c4c4077e9449147d754afd972e247efc,该APK功能和Conference.apk一样,但是包含不同的文本内容,新的文本内容如下:


用浏览器打开IP64.78.161.133发现几段随机的字符串,如下:

研究人员发现使用Android木马的APT攻击

连接到该IP的远程桌面,界面语言为中文,卡巴斯基表示,攻击者可能来自中国,如下:

研究人员发现使用Android木马的APT攻击

 

责任编辑:蓝雨泪 来源: FreebuF
相关推荐

2013-06-08 09:23:20

2021-04-10 09:56:57

Charming Ki网络钓鱼

2014-03-06 14:08:11

2021-02-02 09:32:06

黑客攻击l安全

2021-03-31 09:17:46

Android恶意软件攻击

2021-07-30 23:17:12

网络安全黑客伊朗

2021-07-30 15:32:41

网络攻击黑客网络安全

2021-02-16 10:02:36

恶意扩展安全插件网络攻击

2014-12-25 09:51:32

2012-03-23 09:28:14

2021-04-04 22:55:51

谷歌网络攻击网络安全

2010-04-21 09:15:21

2014-10-11 13:57:04

2019-05-22 08:11:51

Winnti恶意软件Linux

2013-09-22 09:30:08

2023-06-27 09:12:34

2012-11-22 14:16:51

2013-08-09 11:33:58

2023-07-07 15:44:12

漏洞网络安全

2012-08-14 10:27:51

点赞
收藏

51CTO技术栈公众号