最近趋势科技的安全研究人员新发现一个针对移动设备的新型恶意软件——GnatSpy，根据研究人员的分析GnatSpy应该和双尾蝎组织(APT-C-23)有关，它是该组织常用的VAMP恶意软件的变种。

GnatSpy又现江湖

今年早些时候，有媒体曝出从2016 年 5 月开始，一个被称作双尾蝎的组织分别中东地区的各个重要领域展开了有组织、有计划、有针对性的攻击，攻击平台包括 Windows 与 Android平台。

在经过一段时间的调查后，研究人员发现该组织所使用的恶意工具中，有一个名为VAMP的恶意软件，专门针对移动设备。VAMP专门用来窃取手机用户的各种敏感数据，比如通讯录、通话记录、短信、存储的视频和图像等。

2017年10月，VAMP又出现了一个新的变种——FrozenCell （趋势科技将其定义为ANDROIDOS_STEALERC32）。FrozenCell经常伪装成Facebook、hatsApp、Messenger、LINE和LoveChat等聊天应用的更新，诱使用户下载，当时研究人员在其样本中发现了几十个命令和控制域名。

不过时隔两个月，趋势科技的研究人员又监测到了一个新的移动恶意软件——GnatSpy。通过分析，研究人员认为这是VAMP的新变种，这表明APT-C-23组织还非常活跃，并不断对恶意工具进行迭代。之所以肯定GnatSpy是VAMP的变种，是因为VAMP样本中的一些控制域名曾经出现在VAMP中。趋势科技将GnatSpy定义为ANDROIDOS_GNATSPY。

目前，研究人员还不知道这些文件是如何传播给用户的。攻击者可能会像FrozenCell那样，伪装成某些应用来诱导用户下载。

不过，目前研究人员还没有发现GnatSpy大量被传播，这表明攻击者仅把目标定位于特定的群体或个人。

GnatSpy的强大性能

虽然GnatSpy的功能类似于早期版本的VAMP。然而，相比于以前，攻击行为更加复杂化了。

此次GnatSpy的结构与之前的两个恶意软件（VAMP和FrozenCell）有很大不同。大量的接收器和服务被添加到其中，这使得GnatSpy更加强大和模块化。研究人员相信GnatSpy是由具有很好的软件设计知识的人所设计并开发的。

新旧软件的接收器和服务的对比

另外许多新的代码也使用了Java注释和对应方法，这样做是为了避免这些应用程序被发现。

Java注释和反射方法

C＆C服务器

早期版本的VAMP包含了可以在简单的纯文本中使用的C＆C服务器，安全人员只需要通过静态分析工具就可以将其检测到。

使用明文的C＆C服务器

不过，GnatSpy不会再犯这么低级的错误。虽然服务器仍然是被硬编码过的恶意代码，但却是被混淆过的，以避免被检测到。

混淆的C＆C服务器

另外函数调用在代码中可以获取真实的C＆C服务器URL：

获取C＆C服务器URL的函数调用

但原来恶意软件中经过硬编码的URL并不是最终的C＆C服务器，访问上面的URL才返回实际C＆C服务器的位置：

C＆C服务器的请求和响应

GnatSpy现在使用的C＆C域名的WHOIS信息会使用域名隐私功能来隐藏注册人的联系信息。

WHOIS信息

还有一点值得注意的是，这些C＆C域名中有一些是新注册的，这表明攻击者的活动已经非常活跃了。

新注册的C＆C域

有没有发现所使用的域名的命名都很有意思，它们都是用人名来命名的，而且有些名字似乎是真实姓名，有些名字似乎是随意编写的，目前还不清楚这么命名的原因。

目前GnatSpy所使用的Apache版本也已经从2.4.7更新到2.4.18，所有域现在都禁止目录索引。

禁用的目录索引

研究人员还注意到，有两个C＆C域 – 特别是cecilia-gilbert[.]com和d lagertha-lothbrok[.]info，也分别在VAMP和FrozenCell出现过。

增加攻击兼容性和窃取范围

早期的GnatSpy样本会调用华为设备上的系统管理器来获取权限：

华为设备上的代码调用应用

攻击者也为小米设备添加了类似的语句：

小米设备上的代码调用应用程序

GnatSpy还使用了几个针对较新Android版本（Marshmallow和Nougat）的函数调用：

Marshmallow和Nougat的代码

另外，如果设备该感染，则该设备的更多信息也将被窃取，除了原来的范围以外，新的攻击范围还包括SIM卡状态、电池、内存和存储使用情况。奇怪的是，虽然以前的两个恶意软件都是通过OpenCellID收集用户位置信息的，但GnatSpy却没有使用这种方法来收集。

总结

现在看来，即使双尾蝎组织的活动已经被研究人员曝光了，攻击还在继续，并且还对新的工具进行迭代。