双尾蝎组织的GnatSpy变种样本简要关联分析

走过路过点波关注↑谢谢您勒

今天，闲下来回看这周情报，有一个双尾蝎组织的最新攻击活动，目标仍为巴基斯坦地区，下面将基于这个最新的木马进行简单的关联分析。

此次使用的是伪装成ZEE 播放器的GnatSpy变种木马

（2c30676af207b3bbb81af097cfd94e88），如下图所示。

从SharedPreference中的SPManager类可以看出，该木马企图执行大量恶意操作，如读取短信，读取邮件，获取密码等等操作

同时，receivers和services类中与以往的变种功能不一致，函数名有所改变。

而该家族样本都会有一个特点，像此处，该样本会将字符串拼接成URL链接（https://zee-player.website/api/），访问后可获取真实C&C地址

获取真实C&C地址（类似下列回传特征，目前已失效）

样本中还有一个硬编码的混淆后的地址，与此前GnatSpy变种类似，解开后为https://kristy-milligan.website，但在样本中并未看见有调用行为，除此之外还有一个名为mupdate的APK名称，疑似之后的行为中会下载该APK。

下图为该家族此前的混淆方式。

而kristy-milligan这个域名实际为一个人名，目前暂不知该名字意义何在。

通过关联分析，可以获取到此域名的用途同样也为获取真实C&C地址功能。

https://kristy-milligan.website/api/get_dom/

且通过该域名，可以获取到一些双尾蝎组织近期的样本，大致如下：

25c2e3b2ed107f0682875a4f4d0cbd80

9aceb002e71b7a15bded15f18c07267b

f8e754d791edbafc760510bf30012b0b

e8dfa1a7cf756b9dbe864ef1df6e8706

24a35852d72a2a8eac1b5d3582b04c54

83c7f971ffae27e01f12704fb43d5c04

如下图的仿照facebook的GnatSpy变种

仿照meetme

鉴于该组织擅长进行钓鱼攻击，因此，在下载安装APP时候请注意是否为官方来源，避免中招。