攻击者

此次攻击活动背后的组织者身份暂时还不能确定，根据攻击的目标、APP的属性和攻击基础设施判断应该来源于伊朗。熟悉政治的情报专家称伊斯兰革命卫队、内政部、情报部等伊朗政府组织都经常会进行这样的监视活动。

事实上，这些监控程序是用于对伊朗政权稳定有威胁的个人和组织，包括内部持不同政见者和反对势力。

通过手机应用手机数据

受害者首先会被诱使下载一个受害者感兴趣的应用。这些应用包括ISIS主题的墙纸更换器，来自ANF库尔德语通讯社的更新和即时消息应用Vidogram的虚假版本。

ISIS主题的应用的主要功能是设置ISIS图片的墙纸，主要针对的目标是恐怖组织的支持者，搞笑的是应用名都有语法错误。

 

图1: 提供ISIS相关墙纸的应用

 

图2: ANF新闻社站点

ANF是一个合法的库尔德语新闻网站，攻击者伪造了该网站的APP来欺骗目标用户。

因为前述应用的名称和内容，研究人员相信这项攻击活动的目标应该是特定的政治团体和用户，主要是ISIS支持者和库尔德种族。但主要的受害者还是伊朗普通市民。

技术分析

攻击活动中使用的应用都使用了2016年发布的相同的证书。证书与[email protected][.]com相关联。

 

图3: 使用相同邮件地址的攻击者应用证书

但该邮箱地址并没有注册用于攻击活动的域名，所以没查到什么有用的信息。

继续分析应用程序发现，所有的应用都有一个特征就是使用了一个包名拼写错误的包“andriod.browser”。

 

图4: 恶意应用的类

这些类负责从受害者设备上窃取数据、收集敏感数据。具体的信息包括：

· SMS/MMS消息；

· 通话记录；

· 联系人列表；

· 浏览器历史和书签；

· 外部存储；

· 剪贴板内容；

· 地理位置和照相机图片。

有趣的是，应用还会收集周围录音。

 

图5: 恶意代码示例

所有窃取的数据都回通过HTTP POST请求发回给C2服务器。其中一个应用会与firmwaresystemupdate[.]com通信，这是新注册的网站，解析的地址首先是一个伊朗的IP地址，然后会转为一个俄罗斯的IP地址。

 

图6: 其中一个诱饵应用联系firmwaresystemupdate[.]com

其余应用会直接联系IP地址，与之前的域名不同的是，IP地址是base64编码和XOR过的：

图7: C2解码

虽然是直接联系IP地址，这些新注册的域名都会解析为这些IP地址，但都遵循相同的命名约定：

· Stevenwentz[.]com

· Ronaldlubbers[.]site

· Georgethompson[.]space

每个受害者都会收到一个唯一的设备UUID（是设备Android_id的编码值），UUID在每次登陆时都会发回给攻击者，发回的标题为UUID_LogDate_LogTime.log。

在为受害者创建日志文件后，就会收集一些基础信息。所有的日志都使用~~~符合来分割窃取数据的不同域：

图8: SMS日志示例

然后不同的类回收集相关的数据，并加入到日志中，然后继续压缩。之后，用AES加密方式加密，加密密钥为设备UUID：

 

图9: 应用的加密方法

当从攻击者处接收到命令时就会收集信息并发回给C2服务器。这些命令的结构与日志相同，使用相同的分隔符，命令包括“Get File”、“Set Server”、“Get Contacts” 等。 

图10: 来自C2服务器的命令示例

受害者分布

分析了攻击活动的范围、被攻击的设备信息和收集的日志文件，研究人员估算大约有240个用户成为此次监视活动的受害者。恶意软件的创建者非常信息的记录了受害者的区域，所以有97%的受害者都是伊朗人，之前研究人员也推测这是一起来源于伊朗的监视活动。

剩余3%的受害者来自阿富汗、伊拉克和英国。日志文件中甚至还有用来拦截受害者数据的恶意应用名和应用code name域。Code name域含有应用的简要描述，研究人员相信这是攻击者用来快速识别受害者使用的应用的域。Code name有‘Daesh4’ (ISIS4), ‘Military News’, ‘Weapon2’, ‘Poetry Kurdish’等。

 

图11: 被攻击的设备和设备厂商分布

实际的受害者数量非常庞大，因为攻击者会窃取受害者的通讯录，通讯录中含有联系人全名和至少一个手机号码。而且还有通话记录、SMS详情、SMS消息、等不相关的用户隐私信息都被窃取了。