关于海莲花组织针对移动设备攻击的分析报告

时间 :  2019年05月24日  来源:  安天移动安全


1、海莲花是什么?


        "海莲花"(又名APT-TOCS、APT32、OceanLotus),被认为是来自中南半岛某国的APT攻击组织,自2012年活跃以来,一直针对中国的敏感目标进行攻击活动,是近几年来针对中国大陆进行攻击活动的最活跃的APT攻击组织之一。

        安天及其他安全厂商在之前已经发布过多份关于海莲花的分析报告,报告的内容主要集中在PC端,攻击手段往往以鱼叉攻击和钓鱼攻击为主,移动端的攻击并不多见。然而,随着移动互联网的发展,一方面人们的手机逐渐出现两用性,除了包含使用者的个人隐私外,也往往会带有其社会属性,另一方面,智能手机的无线通信可以绕过内部安全监管设备,故而针对移动端的攻击也成为了整个攻击链条中的重要一环。下面,安天移动安全以发生于我国的一起移动端攻击事件为蓝本进行具体分析说明。

2、具体分析


MD5

包名

程序图标截图

86C5495B048878EC903E6250600EC308

com.tornado.nextlauncher.theme.windows8pro

F29DFFD9817F7FDA040C9608C14351D3

com.android.wps

表1. 典型样本基本信息

        该应用伪装正常应用,在运行后隐藏图标,并于后台释放恶意子包并接收远程控制指令,窃取用户短信、联系人、通话记录、地理位置、浏览器记录等隐私信息,私自下载apk、拍照、录音,并将用户隐私上传至服务器,造成用户隐私泄露。

3、样本分析


       该应用启动后会打开LicenseService服务:

       该服务会开启f线程用于注册和释放间谍子包:

       注册url:http://ckoen.dmkatti.com

       动态加载间谍子包:

       子包分析

       主包反射调用com.android.preferences.AndroidR类的Execute方法:

       首先建立socket连接:

       socket地址:mtk.baimind.com

       通过与手机建立通讯,发送控制指令和上传短信、联系人、通话记录、地理位置、浏览器记录等部分隐私信息。

       此外该间谍子包还建立了https通讯,用于上传录音、截图、文档、相片、视频等大文件。

        https地址:

        https://jang.goongnam.com/resource/request.php,目前已经失活, 该C2属于海莲花组织资产。

CC

所在位置

mtk.baimind.com

dex文件,Socket通信接收远程指令

jang.goongnam.com

dex文件,上传截图、录音文件、文档等

表2. CC所在位置及作用

        如下图所示:首先,签名Subject中包含HackingTeam、Christian Pozz(Hacking Team中一个管理员的名字)字样;其次,代码中的注册功能,可以认定是对外出售的商业间谍软件;最后,根据后期Hacking Team泄漏资料来看,海莲花组织所属国家亦在其客户名单之中。



4、拓展分析


        根据注册CC的同源性,我们查找到如下样本:

MD5

程序名

C630AB7B51F0C0FA38A4A0F45C793E24

Google Play services

BF1CA2DAB5DF0546AACC02ABF40C2F19

ChromeUpdate

45AE1CB1596E538220CA99B29816304F

FlashUpdate

CE5BAE8714DDFCA9EB3BB24EE60F042D

Google Play services

D1EB52EF6C2445C848157BEABA54044F

AdAway

50BFD62721B4F3813C2D20B59642F022

Google Play services

表3. 通过CC检索到的同源样本

       与我们分析的样本不同,以上样本有了明显的功能改进,增加了提权功能,以45AE1CB1596E538220CA99B29816304F为例,对其assets目录名为dataOff.db的文件进行解密,解密之后的文件中带有提权配置文件,如下所示:

        由此可见,在代码泄漏后HackingTeam组织的CEO表示“泄漏的代码只是很小一部分”的言论是有依据的,这也从侧面反映出网络军火商在一定程度上降低了APT攻击的门槛,使得网络攻击出现更多的不确定性。

        同时我们也注意到,该系列恶意代码有通过国内第三方应用市场和文件共享网站进行的投递。

Hash

URL

641f0cc057e2ab43f5444c5547e80976

http://download****.mediafire.com/sj*m*p**h1rg/

so**lfeh*****rb/TOS_Multi_Backup_V1.1.apk

c20fa2c10b8c8161ab8fa21a2ed6272d

http://ws.yingyonghui.com/4d*****a197ad8be*****d88d3c*****/5523a87c/apk/******

/com.slhapp.khogameandroid.*************.apk

表4. 样本分发链接

5、总结


        海莲花组织总是在演进变化,不断地通过更新其攻击手法和武器库以达到绕过安全软件防御的目的。除了武器库的不断更新,该组织也相当熟悉中国的情况,包括政策、使用习惯等。这不仅迷惑了相关人员,增加了其攻击成功率,同时也可能给目标受害群体带来不可估量的损失。因此对于个人来讲,要切实提高网络安全意识,不要被网络钓鱼信息所蒙蔽;对于安全厂商来讲,更需要对其加深了解并持续进行针对性的对抗,提升安全防护能力,真正为用户侧的移动安全保驾护航。

附录(IOC)


        5079CB166DF41233A1017D5E0150C17A

        F29DFFD9817F7FDA040C9608C14351D3

        0E7C2ADDA3BC65242A365EF72B91F3A8

        C630AB7B51F0C0FA38A4A0F45C793E24

        CE5BAE8714DDFCA9EB3BB24EE60F042D

        BF1CA2DAB5DF0546AACC02ABF40C2F19

        D1EB52EF6C2445C848157BEABA54044F

        45AE1CB1596E538220CA99B29816304F

        50BFD62721B4F3813C2D20B59642F022

        86c5495b048878ec903e6250600ec308

        780a7f9446f62dd23b87b59b67624887

        DABF05376C4EF5C1386EA8CECF3ACD5B

        86C5495B048878EC903E6250600EC308

        F29DFFD9817F7FDA040C9608C14351D3

        C83F5589DFDFB07B8B7966202188DEE5

        229A39860D1EBEAFC0E1CEF5880605FA

        A9C4232B34836337A7168A90261DA410

        877138E47A77E20BFFB058E8F94FAF1E

        5079CB166DF41233A1017D5E0150C17A

        2E780E2FF20A28D4248582F11D245D78

        0E7C2ADDA3BC65242A365EF72B91F3A8

        315F8E3DA94920248676B095786E26AD

        D1EB52EF6C2445C848157BEABA54044F

        DABF05376C4EF5C1386EA8CECF3ACD5B

        AD32E5198C33AA5A7E4AEF97B7A7C09E

        DF2E4CE8CC68C86B92D0D02E44315CC1

        C20FA2C10B8C8161AB8FA21A2ED6272D

        55E5B710099713F632BFD8E6EB0F496C

        CF5774F6CA603A748B4C5CC0F76A2FD5

        66983EFC87066CD920C1539AF083D923

        69232889A2092B5C0D9A584767AF0333

        C6FE1B2D9C2DF19DA0A132B5B9D9A011

        CE5BAE8714DDFCA9EB3BB24EE60F042D

        50BFD62721B4F3813C2D20B59642F022

        C630AB7B51F0C0FA38A4A0F45C793E24

        810EF71BB52EA5C3CFE58B8E003520DC

        BF1CA2DAB5DF0546AACC02ABF40C2F19

        45AE1CB1596E538220CA99B29816304F

        5AF0127A5E97FB4F111ECBA2BE1114FA

        74646DF14970FF356F33978A6B7FD59D

        DF845B9CAE7C396CDE34C5D0C764360A

        C20FA2C10B8C8161AB8FA21A2ED6272D

        641F0CC057E2AB43F5444C5547E80976

致谢


        感谢奇安信红雨滴团队(原360企业安全威胁情报小组)对于因sinkhole造成的域名归因疏漏的热心指正。