走过路过点波关注↑谢谢您勒
今天,闲下来回看这周情报,有一个双尾蝎组织的最新攻击活动,目标仍为巴基斯坦地区,下面将基于这个最新的木马进行简单的关联分析。
此次使用的是伪装成ZEE 播放器的GnatSpy变种木马
(2c30676af207b3bbb81af097cfd94e88),如下图所示。
从SharedPreference中的SPManager类可以看出,该木马企图执行大量恶意操作,如读取短信,读取邮件,获取密码等等操作
同时,receivers和services类中与以往的变种功能不一致,函数名有所改变。
而该家族样本都会有一个特点,像此处,该样本会将字符串拼接成URL链接(https://zee-player.website/api/),访问后可获取真实C&C地址
获取真实C&C地址(类似下列回传特征,目前已失效)
样本中还有一个硬编码的混淆后的地址,与此前GnatSpy变种类似,解开后为https://kristy-milligan.website,但在样本中并未看见有调用行为,除此之外还有一个名为mupdate的APK名称,疑似之后的行为中会下载该APK。
下图为该家族此前的混淆方式。
而kristy-milligan这个域名实际为一个人名,目前暂不知该名字意义何在。
通过关联分析,可以获取到此域名的用途同样也为获取真实C&C地址功能。
https://kristy-milligan.website/api/get_dom/
且通过该域名,可以获取到一些双尾蝎组织近期的样本,大致如下:
25c2e3b2ed107f0682875a4f4d0cbd80
9aceb002e71b7a15bded15f18c07267b
f8e754d791edbafc760510bf30012b0b
e8dfa1a7cf756b9dbe864ef1df6e8706
24a35852d72a2a8eac1b5d3582b04c54
83c7f971ffae27e01f12704fb43d5c04
如下图的仿照facebook的GnatSpy变种
仿照meetme
鉴于该组织擅长进行钓鱼攻击,因此,在下载安装APP时候请注意是否为官方来源,避免中招。
领取专属 10元无门槛券
私享最新 技术干货