RemRAT潜伏在中东多年的Android间谍软件

  • A+
所属分类:安全新闻


概述

    今年是叙利亚内战爆发10周年,在这10年中叙利亚战火从未平息,接二连三的战役造成数十万人丧生,数百万人流离失所,基础设施遭到巨大破坏。“阿勒颇战役” 是叙利亚内战中最血腥的战役之一,该战役开始于2012年7月19日,最终于2016年12月22日以政府军的胜利而结束。持续四年多的“阿勒颇战役”对于叙利亚军队有着重要的意义,该战役是叙利亚军队自危机爆发以来所取得的最大胜利,也是叙利亚战场上的一个重要转折点,该战役的胜利标志着叙利亚军队由战略防御转为了战略进攻。

    近期,360安全大脑从海量威胁样本中发现一个和“阿勒颇战役“相关的新移动RAT,该RAT使用此战役期间Jabhat al-Nusra组织参战的图标进行伪装。通过360安全大数据分析,我们发现该类RAT家族最早出现于2016年3月,至今仍在活跃,主要通过以apk子包的方式嵌入到含有正常功能的母包中进行隐蔽传播。鉴于该家族RAT包名的特点,我们将此RAT命名为RemRAT。

01
伪装方式

RemRAT主要以子包的形式存在于有正常功能应用的assets资源文件中。目前已发现的被用来作为传播载体的母包均与伊斯兰宗教书籍相关。而恶意子包会伪装成系统类应用或母包的更新程序,值得注意的是,其中一个子包的图标来自于一个讨论“叙利亚内战”的waroffline战争论坛,并且图标人物为参加“阿勒颇的进攻”战役的Jabhat al-Nusra组织反对派武装人员。
RemRAT潜伏在中东多年的Android间谍软件
图1 传播载体的图标
RemRAT潜伏在中东多年的Android间谍软件 
图2 子包中“阿勒颇的进攻“战役相关的图标
RemRAT潜伏在中东多年的Android间谍软件
图3 “阿勒颇的进攻“战役相关的论坛
2016年7月至8月的“阿勒颇的进攻”战役属于“阿勒颇战役“的一个子战役,该战役双方分别是政府军阵营和反叛者阵营,反叛者阵营由Fatah Halab、Army of Conquest(由Jabhat al-Nusra和其他圣战组织组成)、Ansar al-Islam等组织组成,反叛者在阿勒颇发动反攻,企图解除政府军对反叛者占领地区的包围,最后反叛者取得了短暂的胜利,建立了一条新的补给线。
RemRAT潜伏在中东多年的Android间谍软件
图4 “阿勒颇的进攻”地图
02
样本分析

功能分析


载体母包启动后,会诱导用户安装恶意子包RemRAT。
RemRAT潜伏在中东多年的Android间谍软件
图5 安装恶意子包的代码
子包RemRAT的主要功能为隐私信息窃取,其中包括常规RAT所拥有的功能。从代码和证书创建时间上看,RemRAT共有两个版本,旧版本出现于2016年,新版本出现于2019年,新版本在旧版本的基础之上增加了一些新指令和新功能,如增加解锁自动拍照、窃取用户操作记录等功能。
RemRAT潜伏在中东多年的Android间谍软件
图6 新旧版本代码对比
RemRAT潜伏在中东多年的Android间谍软件
图7 解锁自动拍照
RemRAT潜伏在中东多年的Android间谍软件
图8 窃取用户操作记录
最新版本RemRAT所具备的主要功能整理如下:
  • 获取账户、IMEI、语音邮箱、网络制式等设备信息
  • 使手机震动
  • 拍照
  • 录像
  • 录音
  • 获取短信、通话记录、联系人信息
  • 取地理位置信息
  • 创建Toast、Notification
  • 上传、下载文件
  • 打开指定URL
  • 执行命令行操作
  • 插入短信、发送短信
  • 监听剪贴板内容
  • 获取用户操作记录

新旧版本指令及其对应的功能详见下表。

旧版本指令

新版本指令

指令功能

get_account

get_account

获取账户、IMEI、语音邮箱、网络制式等信息

do_vibrate

do_vibrate

使手机震动

get_location

get_location

获取地理位置信息

take_picture

take_picture

拍照

live_video

live_video

录像

send_text_message

send_text_message

发送短信

show_notification

show_notification

展示通知

live_audio

live_audio

录音

MQTT

MQTT

MQTT重连

get_all_messages

get_all_messages

获取所有短信

get_call_logs

get_call_logs

获取通话记录

do_toast

do_toast

创建Toast

download_file

download_file

下载文件

upload_file

upload_file

上传文件

request

request

向服务器发送请求

get_call_list

get_call_list

获取通话录音列表

open_url

open_url

打开指定URL

do_exec

do_exec

执行命令行操作

get_contacts

get_contacts

获取联系人

download_call

download_call

上传通话录音

未实现

put_sms

插入短信

未实现

kill

终止连接

未实现

download_clipboard

上传剪贴板内容

未实现

download_photos

上传照片

未实现

download_keylogger

上传用户操作记录

未实现

get_keylogger_list

获取用户操作记录列表

表1 指令及其功能

截止到目前,此RAT家族中部分样本仍未被安全厂商识别。

RemRAT潜伏在中东多年的Android间谍软件
图9 VT厂商识别情况

通信方式

RemRAT共有三种通信方式,分别为MQTT通信、HTTP通信、TOR代理通信。旧版本使用MQTT通信和HTTP通信两种通信方式,新版本增加了对TOR代理通信的支持。

1)MQTT通信
RemRAT启动后会使用MQTT协议与硬编码的C&C进行通信,并以由指定规则生成的客户端ID作为订阅主题进行消息订阅,最后再订阅回调函数处理订阅服务器下发的指令消息。
RemRAT潜伏在中东多年的Android间谍软件
图10 订阅消息
RemRAT潜伏在中东多年的Android间谍软件
图11 订阅消息的回调处理函数
MQTT(Message Queuing Telemetry Transport,消息队列遥测传输)是IBM开发的一个即时通讯协议。它是一种发布/订阅,极其简单和轻量级的消息传递协议,专为受限设备和低带宽,高延迟或不可靠的网络而设计。这种通信方式已不是首次出现在移动端木马,此前就有多家安全厂商报道过使用MQTT协议进行通信的移动端木马,例如中东地区的双尾蝎(APT-C-23)组织,它的移动端攻击样本中就使用了MQTT协议。

2)HTTP通信
RemRAT使用此种通信方式将收集的数据上传到服务器。当收到request指令后也会使用此协议与C&C进行一次请求通信。
RemRAT潜伏在中东多年的Android间谍软件
图12 使用HTTP通信

3)TOR代理
新版本使用了开源的Tor Onion代理库,该代理库可使Java和Android程序实现匿名通信,具有隐藏用户真实地址、避免网络监控及流量分析的特点。但是从代码逻辑看实际并未使用此方式进行通信,预计后续版本会开启此类通信方式,从而达到隐藏自身C&C的目的。
RemRAT潜伏在中东多年的Android间谍软件
图13 使用Tor Onion代理库
03
受害者分析

通过对受害者进行分析,我们发现受害者主要集中在叙利亚和伊朗,受害用户的最早感染时间是2016年底,并且目前仍有新用户被感染。“阿勒颇战役“已结束多年,但攻击仍在继续,这暗示着攻击者关注的不仅仅是叙利亚的阿勒颇战役,而是与中东地区局势紧密相关或关注中东地区局势的人员。
RemRAT潜伏在中东多年的Android间谍软件
图14 受害用户地域分布


总结

    从新旧版本的RemRAT代码对比中可以看出,攻击者正在试图获取受害者更多的隐私信息并对设备进行更多的操作,并且开始关注自身C&C的隐藏,预计下个版本将会使用TOR代理来代替硬编码的C&C。

    RemRAT的发现不是偶然,它只是中东各国战争背影下催生的众多产物之一。借助宗教书籍APP进行载荷投递,攻击时间长,种种迹象表明这是一起中东地区有针对性的长期攻击活动,活动背后更深层次的秘密需要我们持续深入的跟进挖掘。

附录  IOC
MD5
fa34a610742c8faf48cb9e203f9eaa77
ac1f906a719a5f6285dcedd3f5567fae
31d0630879e3d35f66feaf02d39c051e
afecc3fdd82f19a361e5adc046326706
6fbbfe565e53b4b029367acc890110b9

C&C
supportedwebs.com
websitesparadise.com
参考链接

[1] 

https://zh.wikipedia.org/wiki/阿勒頗戰役_(敘利亞內戰)

[2]

https://en.wikipedia.org/wiki/Battle_of_Aleppo_(2012%E2%80%932016)

[3]

https://en.wikipedia.org/wiki/Al-Nusra_Front

[4] 

https://twitter.com/sayed_ridha/status/759758832360763393

[5] 

http://archive.4plebs.org/pol/thread/83609210/

[6] 

https://archive.org/details/Archive_JFS

[7] 

http://waroffline.org/index.php?showtopic=578&st=1140

[8] 

https://github.com/thaliproject/Tor_Onion_Proxy_Library/tree/71dc2a13f674260e34d31d723fcb21a5e7649731

[9] 

https://research.checkpoint.com/2020/hamas-android-malware-on-idf-soldiers-this-is-how-it-happened/


RemRAT潜伏在中东多年的Android间谍软件
团队介绍
RemRAT潜伏在中东多年的Android间谍软件
TEAM INTRODUCTION

360烽火实验室

360烽火实验室致力于移动恶意软件分析、移动灰黑产研究、移动威胁预警、移动APT的发现与追踪等移动安全领域的深入研究。作为全球顶级移动安全生态研究实验室,360烽火实验室在全球范围内不仅首发了多篇具备国际影响力的移动安全生态研究成果,并且成功狩猎了蔓灵花、拍拍熊等多个APT组织针对我国及境外重要目标的攻击活动。实验室在为360手机卫士、360手机助手、360加固保等公司产品提供核心安全数据的同时,也为科研单位、手机厂商、应用商店及上百家国内外合作伙伴提供了移动应用安全检测服务,全方位守护移动安全。

本文始发于微信公众号(360威胁情报中心):RemRAT潜伏在中东多年的Android间谍软件

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: