趋势科技的安全研究人员发现一款新型移动恶意软件“GnatSpy”,据分析推测该恶意软件与臭名昭著的威胁组织APT-C-23(“双尾蝎”)有关。研究人员认为,GnatSpy是“双尾蝎”常用的VAMP恶意软件的变种,且比VAMP更加危险。
APT-C-23及其恶意工具VAMP
2017年3月,360威胁情报中心发布报告指出,2016 年 5 月至2017年3月,“双尾蝎”组织瞄准中东地区,对巴勒斯坦教育机构、军事机构等重要领域展开了有组织、有计划、有针对性的长时间不间断攻击。攻击平台主要包括 Windows 与 Android,研究人员当时称一共捕获了24个 Android 样本,19 个Windows 样本,涉及29个C&C。
“双尾蝎”组织携GnatSpy瞄准手机敏感数据
此后,Palo Alto Networks和ClearSky两家公司发现一个移动恶意软件VAMP,CISSP培训该软件以敏感的数据(包括联系人、通话记录、图片、短信等)为目标。2017年10月,移动安全公司Lookout 发现VAMP的一个新变种“FrozenCell”。最新的变种GnatSpy的出现说明“双尾蝎”组织仍然活跃,并在持续改进工具。
GnatSpy比VAMP更胜一筹
趋势科技发布博文表示,VAMP的某些C&C域名在GnatSpy中被重用,GnatSpy的功能与VAMP的早期版本类似。但是GnatSpy的结构与先前的变种截然不同,这意味着该组织的手段越来越复杂老练。
研究人员指出,GnatSpy添加了更多接收端和服务,赋予这款恶意软件更多功能和模块化设计,这表明GnatSpy的开发者知识面更广,且软件设计经验丰富。新变种还大大增加了对Java注解和反射方法的运用,以规避检测。
先前的VAMP版本在代码中明文罗列了使用的C&C服务器,但GnatSpy对服务器进行了编码,CISSP培训以此避免使用函数调用来获得实际的C&C URL。研究人员指出,GnatSpy中硬编的URL并不指向最终的C&C服务器。访问此URL只会返回实际C&C服务器的位置。
GnatSpy针对安卓较新版本
先前的VAMP版本针对的是华为和小米设备上的系统管理器,而GnatSpy包含几个针对较新安卓版本的函数调用,例如“安卓6.0系统——棉花糖”(Marshmallow)和“安卓7.0系统——牛轧糖”(Nougat)。GnatSpy还能从被感染的设备获取更多信息,CISSP培训包括SIM卡状态、电池、内存和存储使用情况。
“双尾蝎”组织携GnatSpy瞄准手机敏感数据
研究人员表示,目前尚不清楚该组织如何将恶意文件传播给毫无防备的受害者。一种猜测是,“双尾蝎”组织目前正将这些文件伪装成更新直接发送给用户,使目标下载并在安装在自己的设备上。
研究人员指出,该组织使用“安卓设置”或“Facebook更新”这类的名字让用户误以为这些文件是合法的。研究人员称并未发现大量的此类应用,这说该组织的攻击限于具有针对性的特定组织或个人。
研究人员还补充称,即使威胁攻击者的活动被曝光,他们也可能不会放手,“双尾蝎”便是如此。GnatSpy背后的威胁组织不仅在继续执行非法活动,还在不断提高恶意软件的技术能力。