以色列国防部官员称近日发现一起针对以色列士兵的Android监视软件恶意活动——Hamas。最新的样本是ClearSky的安全研究人员发现的。

本研究中重点关注最新的样本，一个世界杯前夕上线的名为Golden Cup的安卓应用。

传播和感染

该恶意活动开始于2018年初，恶意软件（GlanceLove/ WinkChat）主要通过虚假的Facebook简介进行传播，尝试诱使IDF士兵在另外一个平台上进行社交活动，而这个平台就是恶意软件。这个方法并不是那么成功，最后一次尝试是快速创建了一个World Cup应用，并且分发给以色列公民，而不仅仅是士兵。

官方Golden Cup的Facebook页面，短链接会把用户重定向到Google Play的应用页。

研究人员认为开发者非常匆忙，因为缺乏任何有效的混淆，即使C&C服务器端暴露了每个人都可以遍历的文件，含有大约8G的被窃数据。

goldncup.com最近的whois查询结果

工作原理

为了能成功地进入Google Play应用商店，恶意软件使用了常用的一种阶段化的方法。第一版的APP看起来是无害的，其中大多数的代码执行是APP提供的功能。但APP会收集设备的ID和其他数据。

在从C&C服务器接收到命令后，APP会下载一个.dex形式的恶意payload，.dex文件会动态地加载，并提供一些恶意能力。

利用这种方式，恶意软件作者成功地将APP提交到Google Play应用商店。而恶意功能是动态加载的。

与C&C服务器通信

为了与C&C服务器通信，APP使用了MQTT（Message Queuing Telemetry Transport消息队列遥测传输）协议，该协议使用TCP 1883端口。

初始化MQTT客户端

APP会用硬编码的用户名和密码以及唯一的设备ID来连接到MQTT代理上。

到代理的MQTT连接

MQTT通信主要是用于更新设备状态，并且从C&C服务器获取命令。其中设备端用于发送消息，消息和命令中都含有设备ID。

HTTP通信

除了MQTT通信外，APP还会用明文HTTP通信来下载.dex文件和上传收集的数据。

所有上传和下载的文件都是zip文件格式，并使用AES的ECB模式加密。每个文件的key都是随机生成的，并且保存在加密后的文件的固定偏移量中。

为了上传文件，APP会与服务器进行基本的REST通信，检查文件是否存在，然后决定是否上传。

文件的上传路径为：

http://<domain>/apps/d/p/op.php

通信是：

Phase 1

APP攻击流的第一阶段是收集设备信息和设备上安装的APP列表。然后上传到C&C HTTP服务器。

基本设备信息收集

另外，这一阶段APP可以处理的命令如下：

· Collect device info

· Install app

· Is online?

· Change server domain

在这些命令中，最有趣的命令是install app，该命令会下载含有第二阶段dex文件的加密zip文件，然后解压并加载。

Phase 2

二阶段dex文件含有3个主要的服务：

· ConnManager – 处理到C&C服务器的连接

· ReceiverManager – 等待调用或APP安装

· TaskManager –  管理数据收集任务

C&C服务器地址与Phase 1使用的不同，所以APP可以重新连接到新服务器，并且开启周期性的数据收集任务。

通过分析TaskManager类，可以看到支持这一阶段的新命令：

从上面的代码段，我们可以看出，有许多数据收集任务是可用的，包括：

· 收集设备信息

· 跟踪位置

· 上传联系人信息

· 上传已发送和已接收的短信

· 上传图片

· 上传视频文件

· 发送外部存储的递归目录

· 上传特定文件

· 使用麦克风录制音频

· 录制通话

· 使用相机连续拍照

这些任务要么是周期性的运行，要么也可以在事件（例如来电）发生或从C＆C服务器获得命令时运行。

缓解措施

不要从不熟悉的站点下载APP；

只安装来自可信源的APP；

注意应用请求的权限；

安装手机安全助手；

及时更新操作系统；

对主要数据经常备份。

IoCs

包名：

anew.football.cup.world.com.worldcup

com.coder.glancelove

com.winkchat

APK的SHA2：

166f3a863bb2b66bda9c76dccf9529d5237f6394721f46635b053870eb2fcc5a
b45defca452a640b303288131eb64c485f442aae0682a3c56489d24d59439b47
d9601735d674a9e55546fde0bffde235bc5f2546504b31799d874e8c31d5b6e9
2ce54d93510126fca83031f9521e40cd8460ae564d3d927e17bd63fb4cb20edc
67b1a1e7b505ac510322b9d4f4fc1e8a569d6d644582b588faccfeeaa4922cb7
1664cb343ee830fa94725fed143b119f7e2351307ed0ce04724b23469b9002f2

被加载的DEX文件的SHA2：

afaf446a337bf93301b1d72855ccdd76112595f6e4369d977bea6f9721edf37e

域名/IP地址：

goldncup[.]com

glancelove[.]com

autoandroidup[.]website

mobilestoreupdate[.]website

updatemobapp[.]website

107[.]175[.]144[.]26

192[.]64[.]114[.]147