APT-C-23 黑客组织以在攻击活动中同时使用Windows 和安卓组件而闻名，其最早使用安卓组件是在2017年。近日，ESET研究人员发现了APT-C-23 组织使用的一款安卓监控软件新版本——Android/SpyC23.A。与2017年的版本相比，Android/SpyC23.A 扩展了监控功能，包括从消息APP 读取通知、电话录音和录屏、以及一些新的特征。

时间轴

2020年4月，@malwrhunterteam 发推称发现了一款新的安卓恶意软件样本。据VirusTotal 数据，除了ESET外，当时还没有安全厂商能够检测到该样本。

图 1. VirusTotal对样本的检测率

2020年6月，@malwrhunterteam 再次发推称检测到另一个安卓样本，该样本与4月发现的样本有关联。进一步分析表明，这2个恶意软件样本都是APT-C-23 组织的新安卓恶意软件。

相关事件的时间轴如图 2所示：

图 2. APT-C-23移动恶意软件时间轴

传播

研究人员与@malwrhunterteam 合作发现了一个用来传播该恶意软件的伪造的安卓APP 应用商店。“DigitalApps” 应用商店中含有恶意和非恶意的应用，如图3所示。非恶意的应用会重定向用户到另一个服务合法应用的非官方的安卓应用商店。恶意软件隐藏在伪装成AndroidUpdate、Threema和Telegram 的应用中。

图 3. 服务APT-C-23监控恶意软件的伪造APP应用商店

但是下载需要输入一个6位的数字码，如图4所示。这可能是防止非攻击目标安装恶意软件。研究人员仍然在没有数字码的情况下下载了应用。

图 4. 伪造的应用商店需求coupon code来下载恶意软件

2020年6月，ESET 系统拦截到这款监控恶意软件。检测到的恶意软件样本伪装成消息APP “WeMessage”，如图5所示。

图 5. 恶意WeMessage app使用的图

实际上，谷歌应用商店中有一个名为WeMessage 的合法app，如图6所示。恶意APP 使用完全不同的图标，除了应用名外，其他内容和合法APP 没有什么相似之处。

图 6. Google Play应用商店的合法WeMessage APP

功能

研究人员分析发现，恶意软件主要模拟各种消息APP。攻击者可以通过这种伪装来请求各种不同类型的权限。

安装和权限

在安装前，Android/SpyC23.A会请求大量的权限，包括拍照和拍视频、录制音频、读取和修改通讯录、读取和发送短信等。

安装后，恶意软件还会请求一系列其他的敏感权限。这些权限请求会被伪装成安装和隐私特征：

·?通过伪装成“Messages Encryption”，APP会请求读取用户通知的权限；

·?通过伪装成“Private Messages”，APP会请求关闭Play Protect的权限；

·?通过伪装成“Private Video Chat”， APP会请求录制用户屏幕的权限。

恶意软件初始化后，受害者会被请求手动安装合法的APP作为诱饵，合法的app是保存在恶意软件的资源中的。合法app 成功安装后，恶意软件就会在受害者设备上隐藏自己。这样，受害者就安装了一个想下载的app和一个后台运行的监控恶意软件。本例中，下载的app并没有任何实质的功能，只是用作安装监控恶意软件的诱饵。

首次启动后，恶意软件就会开始与C2服务器通信。它会注册一个新的受害者并发送受害者的设备信息到C2 服务器。

能力

根据恶意软件接收到的C2命令，Android/SpyC23.A 可以执行以下动作：

· 拍照；

·?录视频；

·?重启WiFi；

·?窃取通过记录；

·?窃取所有的SMS 消息；

·?窃取所有的通讯录；

·?下载文件到设备上；

·?从设备上删除文件；

·?窃取特定后缀的文件，比如pdf、 doc、 docx、 ppt、 pptx、 xls、 xlsx、 txt、 text、 jpg、 jpeg和png；

·?卸载设备上安装的app；

·?窃取设备上安装的APP的apk安装器；

·?隐藏图标；

·?获得设备上SIM的余额。

与之前版本相比，新版本的Android/SpyC23.A 加入了以下功能：

·?录屏和截屏；

·?记录WhatsApp 的通话记录；

·?打电话同时隐藏打电话的活动；

·?读取来自特定消息和社交媒体app的通知文本，如WhatsApp, Facebook, Telegram, Instagram, Skype, Messenger, Viber, imo；

·?删除来自内置安全应用的通知；

·?三星设备上的SecurityLogAgent；

·?小米设备上的MIUI安全通知；

·?华为设备上的Phone Manager；

·?清除自己的通知。

C2 通信

除了监控能力外，恶意软件的C2通信也又更新。在老版本中，使用的C2是硬编码或明文保存或轻微混淆的，因此很容易识别。在更新后的版本中，攻击者使用不同的技术来隐藏2，并且可以远程修改。