freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

安卓木马VajraSpy伪装成聊天软件,瞄准巴基斯坦军方
2022-04-27 16:49:58
所属地 北京

VajraSpy 是一个安卓远控木马,使用指定的谷歌云存储服务来存储窃取的数据。研究人员发现,APT-Q-43 组织使用 VajraSpy 木马伪装成名为 Crazy Talk的聊天应用程序,攻击巴基斯坦军方人员。

解压缩 CrazyTalk.apk样本可以发现多个 classes.dex,多个 classes.dex文件使用 Multidex 进行加载。

image.png-61.3kB文件内容

该木马使用 Firebase 云存储服务来存储从失陷设备上收集的数据。

应用的入口点为 classes2.dex 的 MainActivity,其中的 onCreate()函数确认应用程序拥有“Notification Access”和“Accessibility Service”的权限,并收集 Firebase Cloud Messaging(FCM)的 Token。

image.png-201.2kB部分代码

恶意软件模拟一个聊天应用程序要请求的权限:

image.png-214.4kB权限列表

恶意软件初始化 Firebase 存储服务:

image.png-53.1kB部分代码

在 FirebaseStorage 初始化后,应用程序通过启动 StorageReference 来收集受害者的个人信息:

image.png-153.2kB部分代码

如上所示,putBytes()函数通过 StorageReference对象将数据上传到 Firebase 存储服务。

除了上传的 contacts.json 文件,恶意软件还会收集其他用户数据,如短信、通话记录、WhatsApp(包括企业帐户)消息、 Signal 应用程序消息、设备详细信息、受害者设备的应用程序列表等。

image.png-220.6kB部分代码

WhatsApp、WhatsAppBusiness 或 Signal 的消息会暂时存储在 SQLite DB 的指定数据表中,然后将其上传到指定的 Firebase 云存储服务。

image.png-265.8kBWhatsApp 数据收集

image.png-144.1kB写入数据表

image.png-280.1kB通过表中数据创建数组

总结

最近,安卓恶意软件势头正盛,各种不同的恶意软件都在快速攀升。攻击者也在积极利用各种能够利用的手段(如云存储服务等),将攻击过程隐蔽化、合法化。

IOC

0C980F475766F3A57F35D19F44B07666

参考来源

K7 Lab

# 巴基斯坦 # VajraSpy # Crazy Talk # APT-Q-43
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录