今年是叙利亚内战爆发10周年,在这10年中叙利亚战火从未平息,接二连三的战役造成数十万人丧生,数百万人流离失所,基础设施遭到巨大破坏。“阿勒颇战役” 是叙利亚内战中最血腥的战役之一,该战役开始于2012年7月19日,最终于2016年12月22日以政府军的胜利而结束。持续四年多的“阿勒颇战役”对于叙利亚军队有着重要的意义,该战役是叙利亚军队自危机爆发以来所取得的最大胜利,也是叙利亚战场上的一个重要转折点,该战役的胜利标志着叙利亚军队由战略防御转为了战略进攻。
近期,360安全大脑从海量威胁样本中发现一个和“阿勒颇战役“相关的新移动RAT,该RAT使用此战役期间Jabhat al-Nusra组织参战的图标进行伪装。通过360安全大数据分析,我们发现该类RAT家族最早出现于2016年3月,至今仍在活跃,主要通过以apk子包的方式嵌入到含有正常功能的母包中进行隐蔽传播。鉴于该家族RAT包名的特点,我们将此RAT命名为RemRAT。
功能分析
-
获取账户、IMEI、语音邮箱、网络制式等设备信息 -
使手机震动 -
拍照 -
录像 -
录音 -
获取短信、通话记录、联系人信息 -
获取地理位置信息 -
创建Toast、Notification -
上传、下载文件 -
打开指定URL -
执行命令行操作 -
插入短信、发送短信 -
监听剪贴板内容 -
获取用户操作记录
|
旧版本指令 |
新版本指令 |
指令功能 |
|
get_account |
get_account |
获取账户、IMEI、语音邮箱、网络制式等信息 |
|
do_vibrate |
do_vibrate |
使手机震动 |
|
get_location |
get_location |
获取地理位置信息 |
|
take_picture |
take_picture |
拍照 |
|
live_video |
live_video |
录像 |
|
send_text_message |
send_text_message |
发送短信 |
|
show_notification |
show_notification |
展示通知 |
|
live_audio |
live_audio |
录音 |
|
MQTT |
MQTT |
MQTT重连 |
|
get_all_messages |
get_all_messages |
获取所有短信 |
|
get_call_logs |
get_call_logs |
获取通话记录 |
|
do_toast |
do_toast |
创建Toast |
|
download_file |
download_file |
下载文件 |
|
upload_file |
upload_file |
上传文件 |
|
request |
request |
向服务器发送请求 |
|
get_call_list |
get_call_list |
获取通话录音列表 |
|
open_url |
open_url |
打开指定URL |
|
do_exec |
do_exec |
执行命令行操作 |
|
get_contacts |
get_contacts |
获取联系人 |
|
download_call |
download_call |
上传通话录音 |
|
未实现 |
put_sms |
插入短信 |
|
未实现 |
kill |
终止连接 |
|
未实现 |
download_clipboard |
上传剪贴板内容 |
|
未实现 |
download_photos |
上传照片 |
|
未实现 |
download_keylogger |
上传用户操作记录 |
|
未实现 |
get_keylogger_list |
获取用户操作记录列表 |
截止到目前,此RAT家族中部分样本仍未被安全厂商识别。
通信方式
从新旧版本的RemRAT代码对比中可以看出,攻击者正在试图获取受害者更多的隐私信息并对设备进行更多的操作,并且开始关注自身C&C的隐藏,预计下个版本将会使用TOR代理来代替硬编码的C&C。
RemRAT的发现不是偶然,它只是中东各国战争背影下催生的众多产物之一。借助宗教书籍APP进行载荷投递,攻击时间长,种种迹象表明这是一起中东地区有针对性的长期攻击活动,活动背后更深层次的秘密需要我们持续深入的跟进挖掘。
[1]
https://zh.wikipedia.org/wiki/阿勒頗戰役_(敘利亞內戰)
[2]
https://en.wikipedia.org/wiki/Battle_of_Aleppo_(2012%E2%80%932016)
[3]
https://en.wikipedia.org/wiki/Al-Nusra_Front
[4]
https://twitter.com/sayed_ridha/status/759758832360763393
[5]
http://archive.4plebs.org/pol/thread/83609210/
[6]
https://archive.org/details/Archive_JFS
[7]
http://waroffline.org/index.php?showtopic=578&st=1140
[8]
https://github.com/thaliproject/Tor_Onion_Proxy_Library/tree/71dc2a13f674260e34d31d723fcb21a5e7649731
[9]
https://research.checkpoint.com/2020/hamas-android-malware-on-idf-soldiers-this-is-how-it-happened/
360烽火实验室
360烽火实验室致力于移动恶意软件分析、移动灰黑产研究、移动威胁预警、移动APT的发现与追踪等移动安全领域的深入研究。作为全球顶级移动安全生态研究实验室,360烽火实验室在全球范围内不仅首发了多篇具备国际影响力的移动安全生态研究成果,并且成功狩猎了蔓灵花、拍拍熊等多个APT组织针对我国及境外重要目标的攻击活动。实验室在为360手机卫士、360手机助手、360加固保等公司产品提供核心安全数据的同时,也为科研单位、手机厂商、应用商店及上百家国内外合作伙伴提供了移动应用安全检测服务,全方位守护移动安全。
本文始发于微信公众号(360威胁情报中心):RemRAT潜伏在中东多年的Android间谍软件
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论