疑似针对中美军事组织的安卓远控木马

admin 2024年6月21日12:36:10评论14 views字数 8806阅读29分21秒阅读模式

引言

Android,谷歌最受欢迎的移动操作系统,在全球范围内为数十亿的智能手机和平板电脑提供动力。以其开源特性和灵活性而闻名,Android为用户提供了广泛的功能、定制选项,并通过Google Play商店和其他渠道提供了一个庞大的应用生态系统。

然而,随着其广泛采用和开放环境,Android也带来了恶意活动的风险。针对Android设备的恶意软件构成了对用户隐私、安全和数据完整性的重大威胁。这些恶意程序包括病毒、特洛伊木马、勒索软件、间谍软件和广告软件等多种形式,它们可以通过多种途径渗透设备,例如应用下载、恶意网站、网络钓鱼攻击甚至系统漏洞。

Android恶意软件的不断发展对用户、开发者和安全专家都带来了挑战。随着攻击者采用越来越复杂的技术来逃避检测和破坏设备,了解Android恶意软件的性质、其分发方法以及有效的预防和缓解策略变得至关重要。

Rafel RAT是一个在Android设备上隐蔽运行的开源恶意软件工具。它为恶意行为者提供了一个强大的远程管理和控制工具包,使他们能够进行从数据盗窃到设备操控等一系列恶意活动。

Rafel RAT

Check Point Research已经识别出多个威胁行为者使用Rafel,这是一个开源的远程管理工具(RAT)。发现一个间谍小组在其操作中利用Rafel尤其重要,因为这表明该工具在各种威胁行为者档案和操作目标中的有效性。

在之前的出版物中,我们确定了APT-C-35 / DoNot Team (印度组织)利用Rafel RAT。Rafel的特性和功能,如远程访问、监控、数据泄露和持久性机制,使其成为进行隐秘操作和渗透高价值目标的强大工具。

疑似针对中美军事组织的安卓远控木马
图1 - Rafel RAT功能

活动概览与受害者分析

我们观察到大约120个不同的恶意活动,其中一些成功地针对了包括军事部门在内的高知名度组织。尽管大多数目标受害者来自美国、中国和印度尼西亚,但攻击的地理范围相当广泛。

这些活动可以被视为高风险,因为受害者的手机通讯录被泄露可能会泄露有关其他联系人的敏感信息,并允许基于该数据在组织内进行横向移动。另一个值得关注的点是被盗的双因素认证消息,这可能导致多个账户被接管。

疑似针对中美军事组织的安卓远控木马
受感染的国家

大多数受害者使用的是三星手机,小米、Vivo和华为用户构成了目标受害者中的第二大群体。这一结果与这些设备在各个市场的受欢迎程度相对应。

疑似针对中美军事组织的安卓远控木马
设备型号

虽然某些品牌有更多感染设备,但涉及了广泛的型号。因此,我们根据它们的系列对型号进行了分类。我们的发现还突出显示,大多数受害者拥有的设备是Google设备(Pixel、Nexus)、三星Galaxy A和S系列以及小米Redmi系列。

疑似针对中美军事组织的安卓远控木马
图4 - 顶级型号

值得注意的是,在受影响最严重的受害者中,Android版本的分布。Android 11是最常见的,其次是8和5版本。尽管Android版本多种多样,恶意软件通常可以跨所有版本运行。然而,操作系统的较新版本通常对恶意软件执行其功能或要求受害者采取更多行动提出了更多挑战。

疑似针对中美军事组织的安卓远控木马
图5 - Android版本

我们在Windows机器人中不断观察到,尽管Windows XP版本在2014年就达到了生命周期结束,但感染数量仍然居高不下。我们在感染的Android设备中观察到了同样的情况。超过87%的受影响受害者正在运行不再受支持的Android版本,因此没有接收到安全补丁。

Android版本 发布日期 最后的安全补丁(生命周期结束)
4 2011年10月 2017年10月
5 2014年11月 2018年3月
6 2015年10月 2018年8月
7 2016年8月 2019年10月
8 2017年8月 2021年10月
9 2018年8月 2022年1月
10 2019年9月 2023年2月
11 2020年9月 2024年2月
12 2021年10月 N/A
13 2022年8月 N/A
疑似针对中美军事组织的安卓远控木马
图6 - 受害者的Android版本支持

图6 - 受害者的Android版本支持。

技术分析

这种恶意软件被开发用于参与网络钓鱼活动。它利用欺骗手段操纵用户信任并利用它们的互动。一旦启动,恶意软件会寻求必要的权限,也可能请求被添加到白名单。特别是当设备的制造商为应用优化提供额外服务时,这有助于确保其在系统中的持久性。

疑似针对中美军事组织的安卓远控木马
图7 - 打开相应活动以从优化中排除恶意软件的方法

图7 - 打开相应活动以从优化中排除恶意软件的方法。

我们的调查揭露了使用这种特定恶意软件变体的众多网络钓鱼操作。恶意软件冒充多个广泛认可的应用,包括Instagram、WhatsApp、各种电子商务平台、反病毒程序以及众多服务的支持应用。

疑似针对中美军事组织的安卓远控木马
图8 - 恶意软件活动的截图

根据攻击者的修改,恶意软件可能请求通知或设备管理员权限,或隐蔽地寻求最小敏感权限(如短信、通话记录和联系人),以保持隐蔽。无论如何,恶意软件在激活后立即在后台开始其操作。它部署了一个背景服务,生成一个带有欺骗标签的通知,同时秘密运作。同时,它启动了一个内部服务来管理与命令和控制(C&C)服务器的通信。

疑似针对中美军事组织的安卓远控木马
图9 - ForegroundService显示一个通知以在前台工作并启动通信过程

内部服务启动与(C&C)服务器的通信,激活位置跟踪,并开始设置文本到语音组件。

疑似针对中美军事组织的安卓远控木马
图10 - InternalService的首要行动

通信通过HTTP(S)协议发生,从客户端服务器交互的初始阶段开始。这涉及传输有关设备的详细信息,包括其标识符、特征、地区、国家、型号规格和运营商详细信息。接下来,向C&C服务器发送请求以执行设备上的命令。

疑似针对中美军事组织的安卓远控木马
图11 - 带有设备信息的C&C请求
疑似针对中美军事组织的安卓远控木马
图12 - 恶意软件请求C&C执行命令

支持的命令范围及其名称可能因特定恶意软件变体而异。下表概述了原始恶意软件来源中发现的基本命令:

命令 描述
rehber_oku 将电话簿泄露到C&C
sms_oku 将所有短信泄露到C&C
send_sms 向提供的电话号码发送文本消息
device_info 发送设备信息(国家、运营商、型号、语言、电池、root状态、RAM数量)
location_tracker 将实时位置泄露到C&C
arama_gecmisi 将通话记录泄露到C&C
screen_message 向受害者显示带有提供文本消息的toast(浮动消息)
wipe 删除指定路径下的所有文件
LockTheScreen 锁定设备屏幕
ransomware 开始文件加密进程
changewallpaper 更改设备壁纸
vibrate 执行设备振动20秒
deletecalls 清除通话记录
voice_message 文本到语音命令,可以用不同语言播放来自攻击者的消息
get_list_file 将指定路径的目录树发送到C&C
upload_file_path 将特定文件上传到C&C
application_list 发送所有已安装应用的列表

除了主要通信渠道外,恶意软件最初能够通过Discord API发送快速消息。在注册过程中,它通知攻击者新受害者的出现。这使攻击者能够迅速响应并从被入侵的设备中提取所需数据。

疑似针对中美军事组织的安卓远控木马
图13 - 通过Discord频道通知新受害者

此通信渠道还用于拦截设备通知。恶意软件扫描这些通知的内容并将其转发给攻击者。这使攻击者能够从其他应用程序中提取敏感数据,例如捕获通过消息平台发送的2FA代码。

疑似针对中美军事组织的安卓远控木马
图14 - 泄露所有通知的通知监听器

在我们的分析过程中,我们遇到了攻击者使用的各种保护机制。这些从字符串加密和打包器使用到各种反逃避技术,旨在破坏自动化分析流程或使某些工具失效。

疑似针对中美军事组织的安卓远控木马
图15 - Apktool中的警告,表明使用了各种逃避

使用的一些逃避可以通过分析工具的新版本来缓解。

有关逃避技术的更多信息,请参阅我们的Check Point Research Evasion Encyclopedia。

C2

使用Rafel的威胁行为者获得一个PHP面板,该面板的运行无需传统的数据库设置,而是依赖于JSON文件进行存储和管理。在安装过程中,威胁行为者使用指定的用户名和密码来访问管理面板。通过这个界面,威胁行为者可以监控和控制被感染的移动设备。

疑似针对中美军事组织的安卓远控木马
图16 - 管理登录页面。

登录到命令和控制界面后,威胁行为者可以访问有关被感染设备的重要信息,例如:

  1. 设备 - 手机型号
  2. 版本 - Android版本
  3. 国家 - 提供地理上下文,允许威胁行为者将他们的恶意活动或活动调整到特定地区或人群。
  4. SIM运营商 - 与设备SIM卡相关联的移动网络运营商,这有助于追踪设备的位置。
  5. 电量 - 被感染设备当前的电量水平。
  6. 是否Root - 表明设备是否已Root,提供有关允许的访问级别的信息。
疑似针对中美军事组织的安卓远控木马
图17 - 控制面板设备信息。

当威胁行为者在面板中查看机器人详细信息时,有关设备规格和可用命令的额外信息变得可访问。面板显示了以下提取的设备信息:

  1. 语言 - 指定配置在被感染设备上的语言设置。
  2. RAM - 提供有关设备随机存取内存(RAM)容量的详细信息。这些信息可能表明设备是否为沙盒。

此外,面板还允许操作者访问一套可在被感染设备上远程执行的手机功能和命令。

疑似针对中美军事组织的安卓远控木马
图18 - 受害者设备信息。

GetContact命令使威胁行为者能够从受害者的设备中检索联系人详细信息,包括姓名和电话号码。这允许攻击者访问设备上存储的敏感个人信息,有助于身份盗窃、社交工程攻击或进一步利用受害者的联系人进行恶意目的。

疑似针对中美军事组织的安卓远控木马
图19 - 联系人列表。

图19 - 联系人列表。

威胁行为者可以使用GetSMS命令检索包含敏感信息的短信消息。我们观察到恶意行为者滥用此功能来获取双因素认证(2FA)详情。这构成了重大的安全风险,因为2FA代码通常用于保护账户和交易。

疑似针对中美军事组织的安卓远控木马
图20 - 短信列表。

图20 - 短信列表。

Application命令提供了有关受害者设备上安装的应用程序的进一步信息。

疑似针对中美军事组织的安卓远控木马
图21 - 应用程序列表。

图21 - 应用程序列表。

命令和控制面板的较新版本提供了扩展功能,如下所示。

疑似针对中美军事组织的安卓远控木马
图22 - 命令。

我们对执行的机器人命令的分析提供了有价值的见解,了解了网络犯罪分子采用的战术、技术和程序(TTPs),并产生了可操作的情报。

疑似针对中美军事组织的安卓远控木马
图23 - 执行的命令。

深入分析活动

Check Point Research深入研究了Android感染的三个特定领域:

  • 勒索软件操作
  • 可能导致2FA绕过的双因素认证消息
  • 黑客攻击巴基斯坦政府网站的威胁行为者

我们发现的案例突显了在Android生态系统中运营的个人和公司面临的严重危险。

勒索软件操作分析

在其基本迭代中,Rafel应用程序拥有执行勒索计划所需的所有必要功能。当恶意软件获得DeviceAdmin权限时,它可以更改锁屏密码。此外,利用设备管理功能有助于防止恶意软件的卸载。如果用户尝试撤销应用程序的管理权限,它立即更改密码并锁定屏幕,阻止任何干预尝试。

疑似针对中美军事组织的安卓远控木马
图24 - 响应撤销权限尝试的设备管理代码。
疑似针对中美军事组织的安卓远控木马
图25 - 停用设备管理的尝试。

除了其锁定功能外,恶意软件还包含了使用AES加密进行文件加密的变体,使用预定义的密钥。或者,它可能从设备的存储中删除文件。

疑似针对中美军事组织的安卓远控木马
图26 - 文件加密方法。
疑似针对中美军事组织的安卓远控木马
图27 - 擦除方法。

Check Point Research确定了使用Rafel RAT执行的勒索软件操作。可能来自伊朗的威胁行为者最初执行了典型的信息检索命令,例如:

  1. device_info - 获取设备信息。
  2. application_list - 获取设备应用程序列表。
  3. arama_gecmisi - 获取通话记录。
  4. rehber_oku - 获取联系人详情。
  5. sms_oku - 获取短信消息。

此时,操作员根据获得的信息判断受害者是否具有间谍价值,然后开始勒索软件操作,使用这些命令:

  1. deletecalls - 清除通话记录。
  2. ransomware - 显示消息“Loda Pakistan”(受害者来自巴基斯坦)。
  3. changewallpaper - 更改壁纸,并显示消息“loda Pakistan”。
  4. LockTheScreen - 用消息“Loda Pakistan”锁定屏幕。
  5. send_sms - 发送包含勒索信的短信。
  6. vibrate - 震动以提醒受害者。

以短信消息形式的“勒索信”用阿拉伯文写成,并提供了一个Telegram频道以继续对话。

疑似针对中美军事组织的安卓远控木马
图28 - “勒索信”消息。

双因素认证(2FA)

我们的调查发现了许多2FA消息被盗的案例,这可能导致2FA被绕过。被泄露的2FA代码(OTP - 一次性密码)可以使恶意行为者绕过额外的安全措施,未经授权地访问敏感账户和信息。

疑似针对中美军事组织的安卓远控木马
图29 - 2FA消息
疑似针对中美军事组织的安卓远控木马
图30 - OTP消息

针对政府基础设施的威胁行为者

在最近的一个案例中,我们发现了一个威胁行为者成功黑客攻击了巴基斯坦的一个政府网站。该行为者还在此服务器上安装了Rafel网络面板,我们观察到被感染的设备向这个C&C报告。

疑似针对中美军事组织的安卓远控木马
图31 - 被黑客攻击的巴基斯坦政府网站

黑客@LoaderCrazy在Telegram频道@EgyptHackerTeam上发布了他的“成就”,用阿拉伯语留言“ما نخترقه نترك بصمتنا عليه”(英文:“我们侵入的地方都会留下我们的印记”)。

疑似针对中美军事组织的安卓远控木马
图32 - 在Telegram频道上的通信

Rafel网络面板安装于2024年5月18日,尽管黑客攻击的痕迹可以追溯到2023年4月。

疑似针对中美军事组织的安卓远控木马
图33 - proof.txt文件

这个C&C上的Rafel受害者来自不同国家,包括美国、俄罗斯、中国和罗马尼亚。

疑似针对中美军事组织的安卓远控木马
图34 - Rafel RAT托管在巴基斯坦政府网站上

结论

Rafel RAT是Android恶意软件不断发展的强有力例子,其特点是开源性质、广泛的功能集以及在各种非法活动中的广泛使用。Rafel RAT的普遍性突显了持续警惕和积极的安全措施的必要性,以保护Android设备免受恶意利用。由于网络犯罪分子继续利用Rafel RAT等技术和工具侵犯用户隐私、窃取敏感数据和进行金融欺诈,因此必须采取多层次的网络安全方法。有效的缓解策略应包括全面的威胁情报、强大的端点保护机制、用户教育计划以及网络安全生态系统内的各利益相关方的合作。

IOCs

SHA256
d1f2ed3e379cde7375a001f967ce145a5bba23ca668685ac96907ba8a0d29320
442fbbb66efd3c21ba1c333ce8be02bb7ad057528c72bf1eb1e07903482211a9
344d577a622f6f11c7e1213a3bd667a3aef638440191e8567214d39479e80821
c94416790693fb364f204f6645eac8a5483011ac73dba0d6285138014fa29a63
9b718877da8630ba63083b3374896f67eccdb61f85e7d5671b83156ab182e4de
5148ac15283b303357107ab4f4f17caf00d96291154ade7809202f9ab8746d0b

C2
districtjudiciarycharsadda.gov[.]pk
kafila001.000webhostapp[.]com
uni2phish[.]ru
zetalinks[.]tech
ashrat.000webhostapp[.]com
bazfinc[.]xyz
discord-rat23.000webhostapp[.]com


前panel依然存活

疑似针对中美军事组织的安卓远控木马


各位能不能通过网页源码总结出特征来拓出更多的panel呢?


<!DOCTYPE html>
<html>
<head>
    <meta charset="utf-8">
    <meta http-equiv="X-UA-Compatible" content="IE=edge">
    <meta name="viewport" content="width=device-width, initial-scale=1">

    <title>Crazy</title>
    <link href="./css/theme.css" rel="stylesheet">

    <style>
        .tall-row {
            margin-top40px;
        }
        .modal {
            position: relative;
            top: auto;
            right: auto;
            left: auto;
            bottom: auto;
            z-index1;
            display: block;
        }
    
</style>
</head>

<body>

<nav class="navbar navbar-default navbar-static-top">
    <div class="container-fluid">
        <div class="row">
            <div class="col-lg-4 col-lg-offset-4">
                <a class="navbar-brand" href="index.php">Crazy Login Panel</a>
            </div>
        </div>
    </div>
</nav>


<div class="container">
    <br><br><br>

    <div class="row">
        <div class="col-md-8 col-lg-offset-2">
            <div class="well">
                <br><br>
                <form class="form-horizontal" action="login.php" method="POST" autocomplete="off">
                    <fieldset>
                        <legend>Welcome Attacker</legend>
                        <div class="form-group">
                            <label for="inputUsername" class="col-lg-2 control-label">Username</label>
                            <div class="col-md-5 col-lg-offset-1">
                                <input class="form-control" id="inputUsername" name="inputUsername" placeholder="Username" type="text" required>
                            </div>
                        </div>
                        <div class="form-group">
                            <label for="inputPassword" class="col-lg-2 control-label">Password</label>
                            <div class="col-md-5 col-lg-offset-1">
                                <input class="form-control" id="inputPassword" name="inputPassword" placeholder="Password" type="password" required>
                            </div>
                        </div>
                        <br>
                        <div class="form-group">
                            <div class="col-md-5 col-lg-offset-5">
                                <button type="submit" class="btn btn-default">Login</button>
                            </div>
                        </div>

                    </fieldset>
                </form>
                <br><br>
            </div>
        </div>
    </div>

    <br><br>

    <div class="row tall-row">
        <div class="col-md-offset-8">
            <p>Created by <a href="#">Crazy</a>&copy; 2024</p>
        </div>
    </div>

</div>

</body>
</html>


原文始发于微信公众号(3072):疑似针对中美军事组织的安卓远控木马

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年6月21日12:36:10
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   疑似针对中美军事组织的安卓远控木马https://cn-sec.com/archives/2871538.html

发表评论

匿名网友 填写信息