黄金鼠（APT-C-27），从2014年11月起至今，该组织对叙利亚地区展开了有组织、有计划、有针对性的长时间不间断攻击。攻击平台从开始的Windows平台逐渐扩展至Android平台，杀伤力较大。

        经过监测，我发现该组织出现了一个与以前所使用 “ chatsecurelite.us.to ” 相比极其相似的新的域名 “ chatsecurelite.uk.to  ”，除了域名相似以外，还有一个目录特征也尤为一致。

最新的目录如下:

http://chatsecurelite.uk.to/wp-content/uploads/app/y/

http://chatsecurelite.uk.to/wp-content/uploads/2018/android/t/

http://chatsecurelite.uk.to/wp-content/uploads/2018/android/apks/store/

以往该组织的目录特征，可以发现具有一定的相似性。

从主站的界面也可以看出几乎一致

此前该组织的首页

下图为近期较全的样本列表

其中有一个阿拉伯语书写的样本名实际为更新offcie for mobie

从样本方面，启动后均会要求激活设备管理器，若设备是root用户，启动后基本会请求Root权限。这也是一些android木马通用的手段。

点击激活设备管理器后，APP会退出，并过一会后，图标会被隐藏。

对其中几个样本进行分析后（还没看完），发现大体框架一致，且与此前该组织Android木马的代码具有一定的相似性。

Audio开头的是录音相关

Camera是拍照

CLL是通话记录

File开头是文件操作类

GPS开头是位置监控

Packageinformation是获取用户已安装的包

SMS是获取短信

Net开头的为网络行为

Packet和protocol是解析控制指令

回连C&C

ioc：

6296586cf9a59b25d1b8ab3eeb0c2a33

f59cfb0b972fdf65baad7c37681d49ef

c741c654198a900653163ca7e9c5158c

5de80e4b174f17776b07193a2280b252

cf5e62ebbf4be2417b9d3849c3c3f9c9

f0d240bac174e38c831afdd80e50a992

download

http[:]//chatsecurelite.uk.to/wp-content/uploads/app/y/

http[:]//chatsecurelite.uk.to/wp-content/uploads/2018/android/t/

http[:]//chatsecurelite.uk.to/wp-content/uploads/2018/android/apks/store/

C&C：

82[.]137.255.56