一、事件概要

2021年8月，奇安信病毒响应中心移动安全团队在高级威胁追踪中发现到中东黄金鼠APT组织在今年4月开始投入了一个新的移动端RAT，基于其是首款被发现到的使用Flutter开发的高级威胁样本，我们将其命名为FlutterSpy家族。今年以来，黄金鼠组织持续使用了近4年的移动端武器Raddex（别名SilverHawk）几乎“销声匿迹”，这引起了我们的关注，毕竟这有悖于APT的特性，于此才有了此次的追踪发现。

黄金鼠组织（APT-C-27）属于中东某国家电子军其中一个分支，自2014年起，其对叙利亚地区展开了有组织、有计划、有针对性的长期不间断攻击。其攻击涵盖Android和Windows两大平台，通常利用社交网络和钓鱼网址等方式进行开展攻击。此次其采用了一个VPN相关的钓鱼网站，投入了FlutterSpy新武器在移动端上对受害用户展开攻击。

此次发现的FlutterSpy是黄金鼠组织利用网上开源的“flutter_vpn_example”项目进行个性化定制添加恶意代码快速开发出的一款RAT。其相比原来的移动端武器Raddex，功能更加简单，目前其恶意功能仅包含窃取设备和通讯录信息，猜测其处于新定制化的初期阶段。

二、载荷投递

通过奇安信病毒响应中心移动安全团队的内部分析关联系统和奇安信威胁情报平台（https://ti.qianxin.com/）追踪分析，我们发现到黄金鼠组织在今年4月初采用了一个VPN相关的钓鱼网站进行移动端新武器FlutterSpy载荷投递。此次涉及的钓鱼网站及对应载荷可参考下图。

图2.1 VPN相关的钓鱼网站截图

三、技术分析

通过分析发现，此次黄金鼠组织投入的移动端攻击FlutterSpy，应该是其为了躲避已被多家安全厂商识别的移动端武器Raddex而进行的一种新尝试。这种采用新语言或者新框架开发进行更换攻击武器的方式更多的出现在这几年的windows平台上的高级威胁攻击中，可见攻击者的攻击手法在不同平台上本质是具有一致性的。

FlutterSpy使用Flutter开发，此次攻击者直接修改了一个VPN开源项目，直接插入窃取设备和通讯录信息恶意功能。

图3.1 开源正常VPN与FlutterSpy代码入口对比

图3.2 FlutterSpy窃取设备IMEI

图3.3 FlutterSpy窃取联系人信息

图3.4 通过反射调用方式获取联系人信息

四、溯源分析

基于奇安信病毒响应中心移动安全团队的分析系统和红雨滴APT样本关联系统的追踪分析，我们判断本次攻击活动归属为黄金鼠组织。主要依据如下：

（1）样本针对阿拉伯语用户，可以推测该攻击主要针对中东国家。

（2）其中的C&C为89.38.149.227，而89.38.149.227 是该组织于去年12月开始投入使用的一个网络资产。

（3）今年唯一发现到的一款黄金鼠移动端武器Raddex，也是伪造成VPN相关应用，且其C&C和此次保持一致。

五、总结

黄金鼠组织此次对移动RAT进行迭代升级攻击，也再一次印证了军事实战的升维，网络空间作战行动已是常态化、多样化。另外一些在windows平台上成熟运用的攻击技术也逐渐扩展到移动平台上，这也意味着移动端的安全不容忽视。如何避免遭受移动端上的攻击，奇安信威胁情报中心移动安全团队提供以下防护建议：

（1）及时更新系统，在正规的应用商店下载应用。国内的用户可以在手机自带的应用商店下载，国外用户可以在Google Play下载。不要安装不可信来源的应用、不要随便点击不明URL或者扫描安全性未知的二维码。

（2）移动设备及时在可信网络环境下进行安全更新，不要轻易使用不可信的网络环境。

（3）不轻易开启Root权限；对请求应用安装权限、激活设备管理器等权 限的应用要特别谨慎，一般来说普通应用不会请求这些权限，特别是设备管理器，正常的应用机会没有这个需求。

（4）确保安装有手机安全软件，进行实时保护个人财产安全；如安装奇安信移动安全产品。

（5）使用正规商家的共享充电宝，不轻易开启开发者模式。

（6）积极学习网络安全知识，及时了解当下流行的网络骗局，避免陷入“社交约会类”“兼职类”“金融理财类”“冒充身份类”等骗局中。

目前，基于奇安信威胁情报中心的威胁情报数据的全线产品，包括奇安信威胁情报平台（TIP）、天擎、天机、天眼高级威胁检测系统、奇安信NGSOC等，都已经支持对此类攻击的精确检测。

IOC

域名/URL	用途	备注
89.38.149.227	钓鱼网址及C&C
Android MD5	包名	名称
30d3c460fda7114d18599492b4ea1fab	com.serkandyck.freevpn	VPN-Secure

附录A 奇安信病毒响应中心

奇安信病毒响应中心是北京奇安信科技有限公司（奇安信集团）旗下的病毒鉴定及响应专业团队，背靠奇安信核心云平台，拥有每日千万级样本检测及处置能力、每日亿级安全数据关联分析能力。结合多年反病毒核心安全技术、运营经验，基于集团自主研发的QOWL和QDE（人工智能）引擎，形成跨平台木马病毒、漏洞的查杀与修复能力，并且具有强大的大数据分析以及实现全平台安全和防护预警能力。

奇安信病毒响应中心负责支撑奇安信全线安全产品的病毒检测，积极响应客户侧的安全反馈问题，可第一时间为客户排除疑难杂症。中心曾多次处置重大病毒事件、参与重大活动安全保障工作，受到客户的高度认可，提升了奇安信在业内的品牌影响力。

附录B 奇安信病毒响应中心移动安全团队

奇安信病毒响应中心移动安全团队一直致力移动安全领域及Android安全生态的研究。目前，奇安信的移动安全产品除了可以查杀常见的移动端病毒木马，也可以精准查杀时下流行的刷量、诈骗、博彩、违规、色情等黑产类软件。通过其内部分析系统可以有效支持对溯源分析等追踪。通过其高价值攻击发现流程已捕获到多起攻击事件，并在去年发布了多篇移动黑产报告，对外披露了多个APT组织活动，其中三个是首发的新APT组织（诺崇狮组织、利刃鹰组织和艾叶豹组织）。未来我们还会持续走在全球移动安全研究的前沿，第一时间追踪分析最新的移动安全事件，对国内移动相关的黑灰产攻击进行深入挖掘和跟踪，为维护移动端上的网络安全砥砺前行。

附录C 奇安信移动产品介绍

奇安信移动终端安全管理系统（天机）是面向公安、司法、政府、金融、运营商、能源、制造等行业客户，具有强终端管控和强终端安全特性的移动终端安全管理产品。产品基于奇安信在海量移动终端上的安全技术积淀与运营经验，从硬件、OS、应用、数据到链路等多层次的安全防护方案，确保企业数据和应用在移动终端的安全性。

奇安信移动态势感知系统是由奇安信态势感知事业部及其合作伙伴奇安病毒响应中心合力推出的一个移动态势感知管理产品。不同于传统移动安全厂商着重于APP生产、发布环节，为客户提供APP加固、检测、分析等，奇安信移动态势感知系统面向具有监管责任的客户，更加着重于APP的下载、使用环节，摸清辖区范围内APP的使用情况，并为客户提供APP违法检测、合规性分析、溯源等功能。

本文始发于微信公众号（奇安信威胁情报中心）：黄金鼠组织新型移动端攻击武器 FlutterSpy 披露