行业新闻

克什米尔冲突之针对巴基斯坦的Chenab(奇纳布河)监控活动样本分析

克什米尔冲突之针对巴基斯坦的Chenab(奇纳布河)监控活动样本分析

背景

印巴冲突历来已久,其归根到底是克什米尔问题,克什米尔争端是指印度和巴基斯坦对查谟和克什米尔地区**纷争而引发的一系列问题,克什米尔争端是英殖民主义在1947年撤出印度时留下的。

2019年10月5日,印控克什米尔地区政府办公室遭到***袭击,目前已造成至少14人受伤,再次加剧当地紧张气氛。6日,数千名巴控克什米尔地区民众开始聚集在印巴实际控制区分界线附近,**印控克什米尔地区被封锁。巴基斯坦总理伊姆兰·汗随后在社交平台上表示,希望民众不要越线,任何对印控克什米尔地区的人道主义援助,都会“被印度利用”。

自8月5日印度政府宣布取消宪法赋予印控克什米尔地区的特殊地位后,印巴局势骤然升级。取消特殊地位意味着印控克什米尔地区曾享有的自治权不复存在,而印度宪法将完全适用于这里。印度还封锁了印控克什米尔大部分地区,切断当地对外通讯,包括手机、互联网和固线电话,并增派军队到边界地区。这一单方面改变克什米尔现状的做法立即招来巴基斯坦强烈反弹,巴方随即决定降低与印度的外交关系级别,并中断双边贸易。

 

而近日,奇安信病毒响应中心捕捉到了一起极具目的性的安卓APK攻击,经过研判发现其攻击目标疑似为巴基斯坦。此次攻击事件涉及的样本乌尔都翻译为“河边” ,联系到奇纳布河(Chenab River)流域发生过印巴水资源争议,1960年9月达成《印度河水协定》。根据协定,奇纳河、印度河及杰赫勒姆河划归巴基斯坦。奇纳布河(Chenab River)上游经过经克什米尔查谟(Jammu)地区,目前是巴基斯坦控制区域。有理由相信在8月5日之后,各方在该地区的监控会加强,这次针对奇纳布河(Chenab River)上游的监控活动,我们正式命名为Chenab。

图片.png

诱饵分析

这次捕获到的apk样本名为“ندائےحق”(乌尔都语:河边),大家都知道乌尔都语为巴基斯坦的国语,通过伪装为正常应用(恶意样本加载正常应用)来实现全面监控的作用,能实时捕捉到巴基斯坦国内最新动态。“河边”代号可能是基于历史与地理位置,奇纳布河(Chenab River)存在争议,奇纳布河(Chenab River)上游又经过克什米尔地区,使人不得不去联想到印巴克什米尔冲突,近年来在“克什米尔”地区的冲突也是愈演愈烈。

通过关联样本分析发现,此框架下适用任何针对任何app进行伪装,在关联样本中发现疑似针对巴基斯坦来伪装相关应用,具有很强的针对性,疑似印度针对巴基斯坦近期制定了监控计划。

 

                                                诱饵APP图标:                              正常APP图标:          Clipboard Image.png

 

样本运行截图:

图片.png

样本申请的权限:

图片.png

样本分析

样本概况

文件名称29E94BC62CBFA221A051E07E23588016.apk
软件名称ندائےحق
软件名称翻译河边
软件包名com.gellery.services
MD529E94BC62CBFA221A051E07E23588016
安装图标图片.png

 

样本行为描述

此次捕捉的针对***国家的恶意样本,通过释放加载正常的应用程序,

隐藏自身图标来实现隐藏自身,让用户误以为安装并更新了一个正常的应用程序。此恶意程序在后台运行时,则会通过远程服务器下发指令(总计56个指令)来实现对用户进行全方位的监控。其恶意操作有:上传短信信息、上传联系人信息、上传电话记录、屏蔽短信、监听手机状态、开启GPS、远程拍照等操作。

远控指令列表:

网络指令功能
msurc设置音频源的值
udlt更新配置信息并关闭远程连接
nofia预留
setscrn开启截屏
nofid结束前台服务时删除通知
uclntn设置用户ID并更新设置
setnoti开启通知服务
setgpse开启GPS
info获取设备基本信息及配置信息
dirs/fldr获取SD卡根目录信息
fles获取指定目录下文件信息
ffldr获取指定目录下的文件及目录信息
filsz获取文件信息
notify获取_HAENTIFI
file/afile获取文件数据
thumb获取图片
cnls设置isCancl的值
delnotif删除_HAENTIFI文件
unsnotif注销通知服务
setnotif注册通知服务
delt删除文件
dowf下载指定文件
capbcam后置摄像头拍照并保存
capfcam前置摄像头拍照并保存
capscrn开启截屏
capscrns开启连续截屏
scresize设置屏幕大小
scrtops发送广播
supdat安装并运行指定的apk
runf启动指定的应用
listf向服务器回传文件数据
procl向服务器回传运行程序列表信息
endpo关闭指定应用的进程
calsre设置电话记录的配置信息
recpth上传_HAATNECS_
calstp设置电话记录的配置为false
stsre开启录音
stpre停止录音
conta获取联系人信息
clogs上传电话记录
vibr\vibrate设置手机震动参数
stoast显示指定的通知信息
gcall拨打指定号码
sesms向指定号码发送短信
lntwok上传本地网络信息
lgps开启GPS并进行上传
clping上传ping
smslg上传短信信息
delth删除_HAETALOG_
smsmon注册屏蔽短信服务
smsmons注销屏蔽短信服务
camoni注册电话状态监听服务
camonis注销电话状态监听服务

 

详细代码分析

1、“黑加白”实现隐藏自身

恶意样本运行后会直接从raw目录下释放myapps并保存为myapps.apk,同时会运行此正常的apk应用。

图片.png图片.png

当运行了真实的正常apk后,则会隐藏恶意程序自身图标,在后台进行远控操作,这样呈现给用户的效果是安装了一个正常的应用程序

图片.png

2、通过实时更新配置文件,来灵活切换远控服务器

连接远程服务器后,则可通过网络发送指令数据包进行远程控制操作。

远程服务器的IP端口信息:

服务器:173.249.50.34 和 shareboxs.net

端口:12182

图片.png

通过配置信息来决定是否连接ip或者域名:

图片.png

3、网络远控指令

指令msurc:设置音频源的值

图片.png

指令udlt: 更新配置信息并关闭远程连接 图片.png


指令setscrn:开启截屏

图片.png图片.png

指令nofid:结束前台服务时删除通知

图片.png

指令uclntn:设置用户ID并更新设置

图片.png

指令setnoti: 开启通知服务

图片.png图片.png

指令setgpse:开启GPS

图片.png图片.png

指令info:获取设备基本信息及配置信息

图片.png图片.png

指令dirs和指令fldr: 获取SD卡根目录信息

图片.png

指令fles: 获取指定目录下文件信息

图片.png

指令ffldr:获取指定目录下的文件及目录信息

图片.png

指令filsz: 获取文件信息

图片.png

指令notifi: 获取_HAENTIFI信息

图片.png

指令file和afile:获取文件数据

图片.png

指令thumb:获取图片

图片.png

指令cnls: 设置isCancl的值

图片.png

指令delnotif: 删除_HAENTIFI

图片.png

指令unsnotif: 注销通知服务

图片.png

指令setnotif: 注册通知服务

图片.png

指令delt:删除文件

图片.png

指令dowf:下载指定文件

图片.png

指令capbcam:后置摄像头拍照并保存

图片.png

指令capfcam:后置摄像头拍照并保存

图片.png

指令capscrn:开启截屏

图片.png

指令capscrn:开启连续截屏

图片.png

指令scresize:设置屏幕大小

图片.png

指令scrtops:发送广播

图片.png

指令supdat:安装并运行指定的apk

图片.png

指令runf: 启动指定的应用

图片.png

指令listf: 向服务器回传文件数据

图片.png

指令procl: 向服务器回传运行程序列表信息

图片.png

指令endpo: 关闭指定应用的进程

图片.png

指令calsre: 设置电话记录的配置信息

图片.png

指令recpth: 上传_HAATNECS_

图片.png

指令calstp: 设置电话记录的配置为false

图片.png

指令stsre:开启录音

图片.png

指令stpre:停止录音

图片.png

指令conta:获取联系人信息

图片.png

指令clogs:上传电话记录

图片.png

指令vibr\vibrate:设置手机震动参数

图片.png

指令stoast:显示指定的通知信息

图片.png

指令gcall:拨打指定号码

图片.png

指令sesms:向指定号码发送短信

图片.png

指令lntwok:上传本地网络信息图片.png

指令lgps:开启GPS并进行上传

图片.png

指令clping:上传ping

图片.png

指令smslg:上传短信信息

图片.png

指令delth:删除_HAETALOG_

图片.png

指令smsmon:注册屏蔽短信服务

图片.png

指令smsmons:注销屏蔽短信服务图片.png

指令camoni:注册电话状态监听服务

图片.png

指令camonis:注销电话状态监听服务

图片.png

同源分析

通过关联样本发现了使用同一框架的恶意程序,其核心功能代码大同小异(或减少功能),其主要的核心架构就是通过从res\raw\目录下释放myapps/myappes/myapp.apk(正常应用)然后安装运行,同时伪装恶意程序以隐藏图标的方式在后台一直运行监控获取用户信息。 

图片.png

其利用框架为:

图片.png

总结

印巴冲突无疑是近年来比较火热的话题之一,本文中疑似针对巴基斯坦的apk样本监控分析,无疑是印巴交锋中的网络战争,谁能先获取对方的最新动向则能及时作出相对应的策略。如果网络战争失利了,无疑于失去先机。

 

奇安信病毒响应中心将持续对最新的恶意安卓APK攻击活动进行及时分析与更新,目前奇安信全系产品均可对此攻击活动进行报警。

 

IOC

文件Hash:

29e94bc62cbfa221a051e07e23588016

aefaf256916cb229c42ffeb1bca18c39

3588b1efda1863a3a10e8230005d877d

f68617671f1a830648b93350e670f698

1095580e4bece45ce5aaefca6125e6e4

 

C2地址:

173.249.50.34:12182 

shareboxs.net:12182

关闭