导语:McAfee研究人员在Google Play上发现了Sun Team黑客组织的RedDawn行动,专门针对移动设备。

今年早些时候,McAfee研究人员在迈克菲移动威胁报告McAfee Mobile Threat Report中预测,由于移动设备无处不在的增长以及恶意软件作者使用的复杂策略,针对移动设备的攻击数量将会增加。去年,我们首家发布了移动领域运营的Lazarus组织的博客。在报告发布几周后,最近又在Google Play上发现了RedDawn行动,证明专门针对移动设备的攻击依然存在。

RedDawn是今年看到的Sun Team黑客组织的第二个行动。今年1月,McAfee Mobile Research Team撰写了针对北韩叛逃者和记者的Android恶意软件。迈克菲研究人员最近发现了由相同人员开发的新恶意软件,这些恶意软件在Google Play上作为“未发布”版本上传。我们已通知谷歌以及韩国互联网与安全机构,谷歌已从Google Play中删除了该恶意软件。

研究结果表明,Sun Team仍积极尝试在韩国受害者的设备上植入间谍软件。(根据自由亚洲电台的报道,到2016年,来韩国的朝鲜叛逃者人数超过了30,000人)。一旦安装了恶意软件,它就会复制敏感信息,包括个人照片、联系人和短信,并将它们发送给威胁攻击者。我们没有看到有关感染的公开报道。我们在早期发现了这些恶意软件;与之前的系列行动相比,感染数量相当低,大约有100次来自Google Play的感染。

Google Play上的恶意软件

上传到Google Play的恶意软件(现已删除)

我们发现了三个由我们命名为Sun Team的攻击者上传的应用程序,该应用程序基于之前攻击中使用过的电子邮件帐户和Android设备。这次袭击中的第一个应用程序음식궁합(食品配料信息)提供了有关食物的信息;另外两个应用程序Fast AppLock和AppLockFree与安全相关。음식궁합与Fast AppLock偷偷窃取设备信息,并从云控制服务器接收命令和其它的可执行文件(.dex)。我们相信这些应用程序是多阶段的,有多个组件。 AppLockFree是侦察阶段的一部分,与另外两个应用程序不同,它为下一阶段奠定了基础。恶意软件传播给朋友,要求他们安装应用程序并通过Facebook帐户提供反馈,推广음식궁합。

与之前行动的联系

感染设备后,恶意软件使用Dropbox和Yandex上传数据并发布命令,包括其他dex插件;这与早期的Sun team攻击类似。从这些云存储站点,发现了Sun Team与1月份报告中提及的恶意行动相同Android测试设备的信息日志。日志具有相似的格式,并使用了与其他Sun Team日志中相同缩写的字段。此外,新恶意软件开发者的电子邮件地址和早期与Sun Team相关的电子邮件地址相同。下图说明了电子邮件地址和测试设备之间的关系。

使用相同的电子邮件地址将两个恶意行动绑定到同一个攻击者

关于作者

在跟踪Sun Team之后,我们发现了其恶意软件的不同版本。下图显示了版本的时间表。

Sun Team不同恶意软件版本的时间表

时间表向我们展示了恶意软件在2017年变得活跃。Sun Team的唯一目的是从设备上提取信息,因为所有恶意软件都是间谍软件。Google Play上的恶意软件被删除前在线大约2个月。

在我们之前发布的关于此攻击者帖子中,我们观察到在恶意软件控制服务器上发现的一些韩语单词不在韩国语词汇中,而且暴露的IP地址指向朝鲜。此外,Dropbox帐户名是来自韩国电视剧或名人。

在Google Play上的新恶意软件中,我们再次看到了描述中的韩文文字。与之前一样,Dropbox帐户名遵循类似的名人模式,例如使用在韩国电视上出现的Jack Black。这些特征充分证明这些行动背后的攻击者不是本土的韩国人,但熟悉文化和语言。这些元素虽然不是对恶意行动幕后行为者国籍的确认,但具有启发性。 

Sun Team的测试设备来自多个国家

此外,我们还发现了攻击者的Android测试设备和准备使用的漏洞的信息。这些设备来自好几个国家,并安装了韩语版应用程序,另一个线索是威胁攻击者可以阅读韩语。漏洞代码被发现上传到Sun Team使用的一个云存储上,是公开提供的沙箱逃逸、特权提升以及代码执行漏洞的修改版本,添加了将自己的特洛伊木马释放到受害者设备上的功能。修改的漏洞攻击表明攻击者没有足够的技术来找到0 day并编写自己的利用。但是,在利用漏洞之前,这可能只是时间问题。

修改后的利用安装Sun Team Trojan

关于Sun Team最值得关注的是,他们使用上传到社交网络服务的照片和南韩人身份来创建虚假账户。有证据表明一些人的身份被盗用。他们正在使用短信和电话服务来生成虚拟电话号码,以便注册韩国在线服务。

总结

此恶意行动使用Facebook分发链接,链接到标记为未发布版本的恶意应用程序。从我们的分析中,可以得出结论,两个攻击背后的角色都是Sun Team。安装任何应用程序的未发布版或测试版时请小心。另外,请检查下载次数,以查看应用是否已广泛安装。

McAfee Mobile Security将此恶意软件检测为Android/RedDawn.A,B。请始终将移动安全应用程序更新为最新版本。

源链接

Hacking more

...